AUDITEUR INTERNE EXTERNE revue 220.pdfEBZONE Communication 32, avenue de Beauregard 94500...

l a r e v u e d e s p r o f e s s i o n n e l s d e l ’ a u d i t , d u c o n t r ô l e e t d e s r i s q u e s

Dans l’actualitéBNP PARIBAS : quel impactpour l'audit interne ?

Idées et débats La sociologie au service de

l’auditeur interne

Une nouvelle façond’appréhender la valeurd’une entreprise

Libres proposL’audit interne dansles administrations de l’Etatdiffère-t-il de celui du secteurprivé ?

Fiche technique

>> Coordination des activitésd’audit interne et d’auditexterne et partage desinformations : rêve ou réalité ?

N°220Juin - Juillet 2014

AUDITEURINTERNE

AUDITEUREXTERNE

Une coopération nécessaire

Rencontre avec ... p.20

René Ricol, Président du cabinet RicolLasteyrie Corporate Finance - Ancienprésident de l’IFAC

Gestion des Risques :Auditeurs internes, le comité d’auditet la direction générale comptentsur vous !

POUR EN SAVOIR PLUS ...

Rendez-vous sur le site internet de l’IFACI(www.ifaci.com)

à la rubrique « Carrière + Diplômes ».

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Pat

y W

ingr

ove

- Fot

olia

.com

Norme 2120 – Management des risques : L'audit interne doit évaluer l’efficacité des processus demanagement des risques et contribuer à leur amélioration.

Afin de renforcer la capacité des auditeurs internes à exercer efficacement leurs responsabilités enmatière d’évaluation des processus de management des risques, l’IIA a développé la certificationCRMA (Certification in Risk Management Assurance).

Le CRMA est un examen de 2 heures, composé de 100 Questions à Choix Multiples. Il est conçu pourles auditeurs internes et les professionnels de la gestion des risques qui interviennent sur lespérimètres de l’évaluation des risques, sur les processus de gouvernance, sur l’évaluation de la qualitéet l’auto-évaluation des contrôles.

Marquez des points !Détenir le CRMA vous permettra de démontrer votre professionnalisme dans le domaine del’évaluation de la gestion des risques, et plus particulièrement votre capacité à :

évaluer la maîtrise des risques et la gouvernance des processus métiersde votre organisation ;

sensibiliser la direction et le comité d’audit aux concepts liés auxrisques et à la maîtrise des risques ;

vous centrer sur les risquesstratégiques de l’organisation ;

apporter encore plus de valeurajoutée à votre organisation.

3juin/juil. 2014 - Audit & Contrôle internes n°220

La revue des professionnels de l’audit,du contrôle et des risques

n°220 - juin/juillet 2014

EDITEURInstitut Français de l’Audit et du Contrôle Internes (IFACI)Association Loi 190198 bis, boulevard Haussmann75008 Paris (France)Tél. : 01 40 08 48 00 Mel : [email protected] : www.ifaci.com

DIRECTEUR DE PUBLICATIONFarid Aractingi

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

RÉDACTION - RÉVISIONJean-Loup Rouff - Béatrice Ki-Zerbo

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 01 40 08 48 02Mel : [email protected]

RÉALISATIONEBZONE Communication32, avenue de Beauregard94500 Champigny-sur-MarneTél. : 01 48 80 00 56Mel : [email protected]

IMPRESSIONImprimerie de ChampagneRue de l’Etoile de Langres - ZI Les Franchises52200 Langres

ABONNEMENTElsa Sarda - Tél. : 01 40 08 47 84Mel : [email protected]

Revue bimestrielle (5 numéros par an)ISSN : 2117-1661Dépôt légal : juillet 2014Photos couverture : © kittitee550- Fotolia.com

Prix de vente au numéro : 25 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle, faitesans le consentement de l’auteur, ou de ses ayants droits, ou ayantscause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que cesoit, constituerait une contrefaçon sanctionnée par les articles 425et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

Depuis toujours, on s’interroge sur le degré

de collaboration que l’audit interne doit

avoir avec l’audit externe. Les normes de la

profession en font une obligation, mais comment

cette collaboration se réalise-t-elle sur le terrain ?

Vous en saurez un peu plus en lisant le dossier et la

fiche technique de ce numéro, qui donnent plusieurs

exemples de bonnes pratiques vues du côté de l’audit interne ou sous l’angle de

l’audit externe.

Les différentes facettes du commissariat aux comptes, sont parfois assez mal appré-

hendées par les auditeurs internes. L’entretien qu’a bien voulu nous accorder René

Ricol qui fait autorité dans la « profession du chiffre » tant il a été impliqué dans

son développement, devrait largement y remédier.

Deux grands sujets d’actualité dans ce numéro :

• Le litige BNP Paribas/ Etats-Unis et les enseignements qu’on peut en tirer du

point de vue de l’audit interne.

• Le reporting intégré, une nouvelle façon d’appréhender la valeur de l’entreprise

par Mervyn King le président de l’« International integrated reporting council ».

Si vous souhaitez vous échapper de l’actualité, lisez l’article de Tommaso Capurso

qui recommande de compléter la démarche rationnelle de l’auditeur interne (des

faits et des chiffres), par une approche sociologique, basée sur le comportement

humain… réjouissant.

Enfin, dans un libre propos, vous lirez l’histoire d’une prise de position, celle du

groupe professionnel « Administrations de l’Etat », qui a fait siens ces deux vers de

Boileau :

Vingt fois sur le métier remettez votre ouvrage

Polissez-le sans cesse et le repolissez

Bonne lecture.

Auditeur interne /auditeur externeUne coopération nécessaire

Louis Vaurs - Rédacteur en chef

Contactez-nous :Tél. : 01 44 70 63 00

E-mail : [email protected]

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Jaku

b Ce

jpek

- Fo

tolia

.com

Votre engagement pour+ de bonnes pratiques

+ de performance+ de légitimité

+ de sécurité

Progressez surdes bases solides

Le label de qualité et de performance CertificationIFACI est délivré aux services d'audit interne quiappliquent de façon pérenne les trente exigencespragmatiques du Référentiel Professionnel del'Audit Interne.


SOMMAIRE

DANS L’ACTUALITÉ

DOSSIER


BNP PARIBAS : quel impact pourl'audit interne ?Antoine de Boissieu

6

p. 23 à 35

Les secrets d’une relation bénéfiqueJean-Claude Grynberg, Jean Sandler, Siân Williams

30

Un vaste champ de collaborationSylvain Rousseau

33

Des intérêts convergents au service de missionsdistinctesJean-Pierre Hottin

24

De quoi parle-t-on ?Laurent Arnaudo

27

RENCONTRE AVEC ...

Du reporting intégréaux normescomptablesinternationales,un vaste tour d’horizonsur l’actualité desauditeurs internes et externesRené Ricol

19

LIBRES PROPOS

L’audit interne dansles administrations de l’Etatdiffère-t-il de celui du secteur privé ?Jean-François Charbonnier

36

IDÉES ET DÉBATS

Une nouvelle façon d’appréhender la valeur d’une entrepriseMervyn King / Ruth Prickett

15

La sociologie au servicede l’auditeur interneTommaso Capurso

8

FICHE TECHNIQUE N°50

>> Coordination des activités d’auditinterne et d’audit externe etpartage des informations : rêve ou réalité ?Paul-Henri Mézin

6

DANS L’ACTUALITÉ

Audit & Contrôle internes n°220 - juin/juil. 2014

BNP PARIBAS : quel impactpour l'audit interne ?Antoine de Boissieu - Associé-gérant, OSC Solutions

Al'heure où nousmettons sous presse,l'épilogue du litige

concernant BNP PARIBASaux Etats-Unis n'est pasencore connu. Selon lesinformations disponibles, labanque risquerait uneamende d'environ 10milliards de dollars, ainsiqu'une interdiction provi-soire d'accéder au marchéde la compensation endollars aux Etats-Unis.Les faits reprochés à BNPPARIBAS seraient lessuivants. Une filiale suissede la banque aurait réaliséde 2002 à 2009 des transac-tions en dollars pour lecompte de clients soudanais,iraniens et cubains. Cestransactions correspon-draient au règlement dematières premières, essen-tiellement de pétrole. Or, lesEtats-Unis avaient àl'époque décrété unembargo visant ces pays. Cetembargo interdisait à toutesociété située aux Etats-Unisde réaliser certaines transac-tions avec les trois paysincriminés, notamment dunégoce de pétrole, et ce afinde tarir leurs ressources àl'exportation. BNP PARIBASest donc accusée d'avoirviolé l'embargo en réalisantdes transactions interditesavec des sociétés visées parl'embargo.

Le droit américain est appli-cable à BNP PARIBAS car lesbanques font compenser

leurs transactions en dollarsaux Etats-Unis. Les transac-tions en elles-mêmes n'ontpas été réalisées aux Etats-Unis, ni par une banquesituée aux Etats-Unis, maiselles ont été incluses dans lesystème de compensationaméricain, et sont doncconsidérées à ce titre commerelevant du droit américain.

Trois remarques peuventêtre faites :1) l'amende est apparem-

ment disproportionnéepar rapport aux faits ;

2) l'interprétation du droitest très large ;

3) BNP PARIBAS a pris unrisque réglementaire,qu'elle a vraisemblable-ment mal apprécié.

La sanction sembledisproportionnée

Sur la base des élémentsparcellaires disponibles dansla presse, le volume detransactions incriminé seraitde 30 à 100 milliards dedollars. Sachant que lamarge réalisée sur ce type detransactions est très faible,l'amende serait donc appa-remment 10 à 100 fois supé-rieure au gain retiré par BNPPARIBAS dans cette affaire.L'interdiction provisoire decompenser des opérationsen dollars aux Etats-Unisrisquerait également decoûter cher à la banque, enprovoquant une perte declientèle.

HSBC, accusée de faits simi-laires et, plus grave, d'aidepassive au blanchimentd'argent sale au profit decartels de la drogue mexi-cains, avait transigé fin 2012pour 1,9 milliards de dollars.Auparavant, ING avait payé600 millions de dollars pourrégler le même type de litigeavec les autorités améri-caines. On estime que lemontant total des amendeset accords à l'amiableréglées par les banques cesdernières années aux Etats-Unis, pour violation d'em-bargo ou défauts de lutteanti-blanchiment, s'élève à 5milliards de dollars. Encomparaison, les sanctionsde BNP PARIBAS semblentdonc disproportionnées.

L'interprétation estdiscrétionnaire

Cette amende très lourdesanctionne des faits qui nesont pas répréhensibles endroit français et en droitsuisse (pays d'implantationde la filiale incriminée). BNPPARIBAS n'a pas violé desanctions de l'ONU, mais unembargo décrété unilatéra-lement par les Américains.Le dommage est nul pourles tiers, pour l'économie etles entreprises américaines.Cette amende ne peut pasêtre comparée à cellesréglées par les banques poursolder les litiges hérités dessubprimes, puisque dans cedernier cas, la majeure partie

des sommes verséesservaient à dédommager lestiers lésés. En l'occurrence,BNP PARIBAS est accuséed'avoir fait perdre de sonefficacité à la politique exté-rieure américaine.

En outre, le fait de considé-rer que les opérationscompensées aux Etats-Unisrelèvent de la loi américaineest discrétionnaire ; jusqu'en2006, la compensation étaiten effet considérée commeun service financier, proposéaux banques pour faciliter lerèglement de leurs dettes etcréances en dollars. Le faitque ce service était réaliséaux Etats-Unis n'entraînaitpas que les dettes etcréances sous-jacentestombaient sous le droitaméricain. Une jurispru-dence de 2006 à l'encontred'ABN Amro a renversécette interprétation, quiaboutit à ce que certainscommentateurs ont qualifié« d'extraterritorialité du droitaméricain ».

BNP PARIBAS a prisun risqueréglementaire

La banque française acependant joué avec le feu.Elle aurait, en effet, été miseen garde dès 2006 par lesous-secrétaire au trésoraméricain de l'époque,notamment pour ses rela-tions avec des contrepartiesiraniennes. BNP PARIBAS


aurait alors demandé uneanalyse à trois cabinetsd'avocats new-yorkais, quiauraient tous confirmé quela banque s'exposait à dessanctions pour les transac-tions en dollars compenséesaux Etats-Unis. Les faits quisuivent ne sont pas encoreconnus, mais il sembleraitque la filiale genevoise deBNP PARIBAS ait continué àréaliser des opérations avecles pays sous embargo et àles faire compenser auxEtats-Unis, mais en maquil-lant les noms des destina-taires des paiements dansles fichiers remis aux cham-bres de compensation. C'estcette dissimulation quiexpliquerait en partie l'am-pleur de l'amende.

Quels enseignementspeut-on en tirer ?

Intégrer le risque judi-ciaire américain

Le premier enseignementest que le risque réglemen-taire est plus que jamais unrisque majeur pour toutesles sociétés ayant une acti-vité aux Etats-Unis. Lamaîtrise du droit américainet de son interprétation estdevenue de plus en pluscompliquée, avec desimpacts potentiels énormes.Le fait d'être une sociétéeuropéenne est sans aucundoute un facteur de risquesupplémentaire, d'abordparce que les procureursaméricains semblent êtreplus sensibles aux infra-ctions commises par lessociétés européennes (fran-çaises notamment), ensuiteparce que ces dernières ontsouvent une moins bonnecompréhension du droit etdu système judiciaire améri-cain. Certaines ont ainsitendance à reproduire auxEtats-Unis des pratiques quisont parfaitement légales enEurope, sans s'assurerqu'elles ne pourraient pasdonner lieu à une interpré-

tation différente outre-Atlantique.

Ainsi, outre l'exemple deBNP PARIBAS, on peut citerla transaction de 650 MUSDréglée récemment parBoehringer Ingelheim pourmettre fin à des poursuitesliées à l'un de ses médica-ments, le Pradaxa. Le labo-ratoire pharmaceutiqueallemand était poursuivipour avoir dissimulé lesrisques d'hémorragie liés àson anti-coagulant (qui estjustement conçu pour fluidi-fier le sang et éviter lacoagulation, et qui présentedonc par définition desrisques d'hémorragie...). Ilest intéressant de noter quela justice française a, aumême moment, classé sanssuite une série de plaintessimilaires. Pour les mêmesfaits, Boehringer est doncprésumé coupable auxEtats-Unis, et a préférépayer une amende pouréviter un procès, et consi-déré comme dans son droiten Europe.

Evaluer la deuxième lignede défense

Le deuxième enseignementest que les comités d'auditvont sans doute demanderde plus en plus souvent àl'audit interne (1) de se

prononcer sur ce type derisques, et (2) d'évaluer l'as-surance fournie par ladeuxième ligne de défense.

Les risques de litigesmajeurs aux Etats-Unis ouavec les autorités améri-caines ne peuvent plus êtreécartés, quel que soit lesecteur d'activité concerné.L'affaire BNP PARIBAS lesfera sans doute remonterdans la liste des priorités denombreux comités d'audit etdirections générales. Lescomités d'audit pourraienten particulier demander àl'audit interne de leur four-nir une opinion indépen-dante de celle de la directiongénérale, pour s'assurer quecette dernière n'est pas entrain de faire courir desrisques juridiques significa-tifs à la société (ce que lesautorités américaines repro-chent apparemment à ladirection de BNP PARIBAS).

De façon plus générale, ladirection et le conseildemanderont sans doute deplus en plus à l'audit internede donner son opinion sur ladeuxième ligne de maîtrise.Ainsi, dans le cas de BNPPARIBAS, les risques régle-mentaires étaient censés êtrecouverts par des départe-ments de conformité,garants du respect des prin-

cipales législations (notam-ment les lois anti-blanchi-ment et celles concernant lestiers sous embargo). Lesservices de contrôle interne(« contrôle permanent ») dela banque couvraient égale-ment ces risques. On peutdonc s'interroger sur le fonc-tionnement de ces services,et avec eux de l'auditinterne. La pression améri-caine sur les transactionsavec les contreparties sousembargo (OFAC) est en effetmaximale depuis 2002, lesservices de conformité etd'audit bancaires l'ont bienidentifié comme étant unezone de risque majeur. Lefait qu'ils n'aient rien vupendant 7 ans, malgré lesconsultations des cabinetsspécialisés et les alertes desautorités américaines, estproblématique. A l'inverse,s'ils avaient alerté leurhiérarchie respective, onpeut se poser la question deleur indépendance, notam-ment pour l'audit interne.L'affaire en cours devraitdonc plus que jamais posi-tionner l'audit internecomme une troisième lignede maîtrise, au service desorganes de gouvernance,chargée de se prononcer surl'action des services quicomposent la deuxièmeligne.

© A

ndy

Dea

n - F

otol

ia.c

om

8

IDÉES ET DÉBATS


Les entreprises disposent actuelle-ment de nombreux modèlesmanagériaux « modernes » et de

bonnes pratiques, visant à les aider àatteindre leurs objectifs.Il en est de même pour l’activité d’auditinterne, normée et de plus en plus pro-fessionnelle, qui gagne continûment enmaturité.Et pourtant, l’arsenal consolidé de« mesures de contrôles internes » nesuffit pas toujours, dans un environne-ment risqué et évolutif (globalisation,pressions réglementaires accrues, chan-gements technologiques…) et en parti-culier dans les organisations fragmen-tées et/ou fonctionnant « en silos » .L’expérience montre qu’il y a lieu de

compléter les approches rationnelles« cartésiennes », généralement recon-nues (« des faits et des chiffres »…), parun changement de paradigme et uneattention particulière au comportementhumain, relevant – lui – d’une « rationa-lité limitée » (expression due à HerbertSimon et à James March1).Le « facteur humain », au cœur desorganisations (implication, motivation,partage du savoir, prises d’initiatives parle personnel…), est en effet déterminantpour le fonctionnement efficace desprocessus de l’entreprise et leur trans-formation continue dans un monde enmutation.L’idée principale est que, confrontée àun risque ou un problème, le comporte-ment des acteurs est d’abord induit parleurs objectifs propres ; les stratégiesindividuelles sont conditionnées par lacombinaison des ressources à leur dis-position, de leurs pouvoirs, de leurscontraintes et des zones d’incertitudeperçues. Dans ce « jeu des acteurs », décrit etanalysé par Michel Crozier et ErhardFriedberg2, s’ouvre, pour l’auditeurinterne, l’opportunité de :• percevoir l’interaction complexe etsubtile entre les acteurs ;

• comprendre comment développer unarbitrage possible entre les multiplesfacteurs motivationnels ;

• renforcer son rôle dans la recherche

de modes créatifs de coopération envue de recommandations perti-nentes ;

• contribuer à ce que des objectifs indi-viduels – parfois contradictoires–convergent vers un plan ou systèmed’action collective, concrète et harmo-nisée ;

• de s’exonérer, de façon innovante, desa mission fondamentale d’« aiderl’organisation à atteindre ses objectifsen évaluant, par une approche systé-matique et méthodique, ses processus[…] et en faisant des propositionspour renforcer leur efficacité ».

Ainsi, l’auditeur interne se mue sensi-blement en un « sociologue » et un« catalyseur de la confiance3 et de lacoopération interpersonnelle ».

Le présent article vise à :• sensibiliser les auditeurs internes àl’évolution sociologique significativede la pensée managériale des organi-sations depuis environ un siècle ;

• comprendre les attitudes des diversacteurs de l’organisation, face à unproblème à résoudre (… un risque,potentiel), en vue de susciter une coo-pération accrue ;

• proposer l’application d’une grilled’analyse « systémique » dite aussi« stratégique » des organisations, en 5étapes, afin de mieux comprendre les

Tommaso Capurso

MIA, CCSA, CIA, QA, EFARM, CRMA,représentant de l’IIA Belgique à l’UFAI,chef de la division d’audit « opérationset systèmes techniques », audit interne,SNCB (Belgique)

La sociologie au servicede l’auditeur interne

Au cours des dernières années, les entreprises ont mis au point des outils, toujoursplus perfectionnés, destinés à les aider à atteindre leurs objectifs. L’audit interne n’apas échappé à cette tendance, et malgré cela, l’« arsenal » des mesures de contrôlereste insuffisant. En effet, si professionnelle soit-elle, l’approche rationnelle ne peutplus laisser de côté le comportement humain, et l’on assiste à des jeux d’acteurs aucours desquels l’auditeur interne se mue en un « sociologue » et un « catalyseur dela confiance ».


mécanismes, souvent complexes,d’interaction et d’ajustement (allianceou régulation) entre les divers acteurs,face à la prise de décision ;

• illustrer de manière didactique cettegrille à l’aide d’un exemple pratiqueréel vécu, dans une entreprise du sec-teur de l’équipement automobile.

Evolution sociologiquede la pensée managérialedes organisations

L’évolution des modèles de sociologiedes organisations est condensée ci-des-sous (figure adaptée de D. Boeri et S.Bernard4). On y distingue en particulier :• la logique de l’entreprise ;• la logique de l’individu ;• les caractéristiques de l’organisation.

Au début du 20ème siècle, FredericWinslow Taylor a revisité la philosophieet les principes concrets de collaborationet d'organisation du travail en atelier, en

étudiant les conditions nécessaires pouraméliorer la productivité. Il aboutit à laconclusion qu'une approche métho-dique s'imposait et développe l’« OST »(Organisation Scientifique du Travail ;une pensée managériale analogue étaitprésente en France avec Henri Fayol).Cette approche reflète une vision« déterministe » des organisations, àsavoir que la performance de l’entre-prise était conditionnée majoritairementpar une approche « descendante » : l’or-ganisation forme et conditionne lesindividus.Les facteurs clefs de succès érigés en« règles d’or » de l’époque étaientnotamment : la primauté de la hiérar-chie, la division du travail – essentielle-ment manuel –, la séparation des activi-tés (conception / production), le carac-tère directif des tâches à exécuter. On reconnaît, dans ce mode de pensée,le principe rémanent de « séparation defonctions », encore bien connu de nosauditeurs internes actuels.

La phrase qu'il aurait adressée à l'ou-vrier Michael Shartle : « On ne tedemande pas de penser ; il y a des genspayés pour cela, alors mets-toi au travail »est souvent reprochée à Taylor.« Commander et contrôler » : le mana-gement pouvait donc l’exiger à l’époque.L’image, dans « Les temps modernes »de et avec Charlie Chaplin, serrant desboulons sous les hurlements – même sile film était muet – de son contremaître,en est une parfaite illustration.Progressivement, ce modèle classique(« One best way ») a évolué.

La production de masse (« Les gens peu-vent choisir n’importe quelle couleur pourla Ford T pourvu qu’elle soit noire »,HenryFord) a cédé le pas à une attentionaccrue aux attentes du client (toyo-tisme). En particulier, la qualité totale etles normes de système de managementde la qualité ont conduit à la nécessitéd’une vision plus globale, « systé-mique », orientée processus, de l’impli-

1900 1930 1950 1970 1980 1985 1990 2000

Cara

ctér

istiq

ue d

e l’o

rgan

isat

ion

Hiérarchie Réseau

Cara

ctér

istiq

ue d

e l’o

rgan

isat

ion

Production de masse Le client estunique

Division du travail Processus

Centralisation Décentralisation

Direction Participation

Respect de la hiérarchie Analyse critique des spec.

Séparation des tâches Relations, connexions, reliance

Tâches à exécuter Résultats, objectifs à atteindre

Référenceauteurs TAYLOR MAYO MASLOW HERZBERG CROZIER

ISHIKAWACROSBYDEMING

MACCOBY Référenceauteurs

LOGIQUE DEL’ENTREPRISE

OST(Organisation Scientifique

du Travail)

OST etrelations

humaines

Enrichissementdes tâches.

Groupesautonomes

Le systèmeet le pouvoir

Qualitétotale

Le système,le pouvoir et

le plaisir

LOGIQUE DEL’ENTREPRISE

Part del’organisation

Part del’organisation

Part despersonnesPart des

personnes

LOGIQUE DEL’INDIVIDU

FATIGUEARGENT CONTACTS BESOINS

SANTÉMOTIVA-

TION

JEU DEGROUPES

D’ACTEURS

EMPOWER-MENT

DÉVELOPPEMENTDE LA PERSONNA-

LITÉ

LOGIQUE DEL’INDIVIDU

1900 1930 1950 1970 1980 1985 1990 2000

AscendanteD

esce

ndan

te

Ecole « systémique » Palo Alto (M. Crozier, E. Friederg) Tableau 1

10

IDÉES ET DÉBATS


cation du personnel, de l’améliorationcontinue… Les « ordres », exprimés en termes demoyens et de procédures à respecter,font de plus en plus place à la formula-tion de finalités, d’objectifs à atteindre,l’individu – mieux formé – prenant desinitiatives prépondérantes dans laconception des processus et desmoyens, dans l’analyse critique des spé-cifications, au sein des organisationsdécentralisées voire fragmentées.

De nos jours, le travail présente unecomposante intellectuelle croissante5.Tous les collaborateurs sont des travail-leurs intellectuels ! (« knowledge wor-kers » ou « travailleurs du savoir »). Lesoutils, machines et robots ont souventremplacé les muscles. Même les fonc-tions intellectuelles simples ont été rem-placées par l’informatique. Que reste-t-il donc, pour les individus, comme typede travail à effectuer ? Celui pour lequella plupart des habiletés humaines, intel-lectuelles et sociales sont nécessaires. Ceque leur cerveau a de meilleur à offrir, lemanagement ne peut l’acheter ni l’exi-ger et doit… le mériter. Ce qui impacteleur enthousiasme, leur motivation, leurloyauté, leur comportement fiable, leurbonne volonté face au changement.L’essence du rôle managérial devientainsi : inspirer, assister, coordonner.

L’organisation est considérée aujour-d’hui – par analogie à un organismevivant – comme un système, uneconstruction sociale, la résultante desactions des individus, soit la combinai-son des individualismes en interaction /interdépendance permanentes.L’approche est devenue « ascendante ».Une question sensible se pose dès lorsde façon aigüe pour l’auditeur interne :après avoir séparé (structures, organi-grammes, descriptions de fonctions,objectifs différenciés par entité ou indi-vidu, règles strictes d’autorisation…),comment relier, re-connecter les com-posantes interactives – parfois dis-jointes – d’une organisation pour qu’ellesoit efficace et atteigne les objectifs col-lectifs assignés ?A notre sens, il s’agit essentiellement deposer un regard systémique sur lesmécanismes d’interaction du jeu desacteurs et d’imaginer des pistes créativesde coopération collective.

Acteur Celui (individu ou groupe) qui participe à une action et qui a des intérêts communspour cette action.Individu concerné et capable d’intervenir sur un problème donné :• concerné : à partir des enjeux, on identifie les acteurs impliqués ;• capable d’intervenir : l’acteur est d’autant plus influent qu’il peut mobiliser des

ressources pertinentes.

Problèmes /enjeux(à mettre enperspectiveavec lesobjectifsindividuels)

Quels sont les enjeux dans une organisation ?• aléas (panne de machine…) ;• points - clefs (« de quoi dépend la réussite de l’entreprise ») ;• tensions et difficultés rencontrées.

Il s’agit des problèmes importants/récurrents non résolus, qui se traduisent par lanon atteinte des objectifs (collectifs / individuels) des acteurs. Pour une personne,cela concerne ce qu’elle a à gagner ou à perdre.

Ressources • Les atouts pour influer sur la situation.• Les ressources mobilisables par un acteur peuvent prendre de nombreuses

formes. Par exemple :

- hiérarchie (autorité à donner des ordres, infliger des sanctions) ;- savoir-faire technique (faire fonctionner, réparer) ;- relationnel (accéder à quelqu’un d’important, connaître le client) ;- informations, connaissances (savoir analyser, anticiper).

Pouvoir • « Le pouvoir de A sur B est la capacité de A d’obtenir que B fasse quelque chose qu’iln’aurait pas fait sans l’intervention de A » (R.Dahl).

• « C’est un rapport de force, dont l’un peut retirer davantage que l’autre, mais où, éga-lement, l’un n’est jamais totalement démuni face à l’autre » (M.Crozier). Il peut doncs’agir aussi de la pression possible de celui qui reçoit un ordre sur celui qui ledonne.

• Les ressources du pouvoir :- la contrainte ;- la légitimité.

• Les sources du pouvoir :- possession d’une compétence difficilement remplaçable (expertise, spécialisa-

tion fonctionnelle) ;- maîtrise des relations avec l’environnement (maîtrise des perturbations) ;- maîtrise des flux d’information et de communication ;- connaissance, compréhension et utilisation des règles organisationnelles

(explicites ou tacites).

Contraintes • Les handicaps pour influer sur la situation.• Les limitations des ressources.

Zoned’incertitude

• Part d'indétermination que comporte une situation et manière selon laquelle onpeut agir sur elle.

• Ressources dont dispose un acteur :- surtout sa marge d'autonomie dans sa mise en œuvre ;- le « jeu » de pouvoir.

• Contrôler (… ou pas) une zone d’incertitude, c’est avoir la liberté d’agir (… oupas).

• Un acteur contraint d’agir d’une certaine manière n’a pas de zone d’incertitude !• « Plus la zone d'incertitude contrôlée par un individu ou un groupe sera cruciale,

plus celui-ci disposera de pouvoir ».

Stratégie • Ensemble cohérent de comportements qu’un acteur adopte en vue de préserverses intérêts.

• La stratégie est orientée par les enjeux et zones d’incertitudes contrôlées.• Toute stratégie est rationnelle aux yeux de celui qui l'utilise… mais il y a plusieurs

rationalités « limitées » (selon l’appréhension de la situation, les facteurs cultu-rels…).

Systèmed’actionconcret(“SAC”)

• C’est la résultante des différentes stratégies, des conflits et des alliances que peu-vent nouer les acteurs.

• Ensemble de jeux structurés et d’ajustements permanents entre des acteursinterdépendants, dont les intérêts peuvent être divergents voire contradictoires.

• Le SAC recouvre 2 réalités :- système des alliances et contraintes : des alliances officieuses se nouent au

sein d’un système. Ces alliances sont essentiellement dues aux perspectivesnécessairement différentes les unes des autres ; il s’agit alors d’un systèmegénéralement provisoire (actions particulières) ;

- système de régulation des relations : règles de relations que se donnent lesacteurs pour résoudre des problèmes quotidiens de l’organisation ; dans cecas, le système est plus durable car basé sur des relations stables et régulières.

Tableau 2


Analyse systémique /sociologique desorganisations

Cette analyse est aussi dénommée« stratégique » par ses deux auteurs :• Michel Crozier (1922-2013), fonda-teur du Centre de Sociologie desOrganisations (CSO) et professeur àl’Université de Harvard. A l’occasiondu colloque « Services publics » (27-28/11/2002) auquel il fut invité parl’IFACI, il fit un exposé intitulé « Lasociologie de la réforme : les résis-tances et les leviers ». A noter, dansson intervention, la prise de positionsuivante : « Nous devons passer ducontrôle à l’évaluation. Le contrôle, celaveut dire que toutes les règles ont été res-pectées. L’évaluation, c’est prendre le pro-blème plus largement pour essayer devoir à quoi ça sert, et de réfléchir à l’en-semble du système qui donne le résultat.Ce qui est la seule chose importante, c’estde passer de la culture de la règle à la cul-ture du résultat » ;

• Erhard Friedberg, d’origine autri-chienne (né en 1942) ; il fut directeurdu CSO jusqu’en 2007 et directeur derecherche au CNRS.

Il est utile de souligner que la logiquesystémique s’intéresse au « vers quoi »(l’objectif étant la cible de référence), àappréhender les composantes du sys-tème, à agir sur les relations entre lesacteurs, à mettre en œuvre une solution.En ce sens, l’analyse stratégique vise à :• établir les relations efficaces et effi-cientes entre acteurs d’une entreprise,une simple structuration « descen-dante » du fonctionnement de l’entre-prise (un organigramme, un proces-sus, une procédure…) ne suffisantplus ;

• identifier et influencer les interactionsentre acteurs afin de résoudre les pro-blèmes / maîtriser les risques ;

• améliorer les performances de l’entre-prise en comprenant les rouages del’organisation.

L’enjeu fait l’acteur ! Si l’enjeu est faiblepour un acteur, ce dernier se révèlerapeu motivé donc peu actif ou coopéra-tif ; par contre, si l’enjeu est commun,l’acteur peut jouer collectif par rapportau groupe d’individus qui partage cetenjeu.

Concepts clefs et définitions6

Avant de proposer un modèle dedémarche (grille d’analyse) structurée,systématique et méthodique, il y a lieude définir quelques concepts clefs (Cf.tableau 2).

Démarche d’analysestructurée en 5 étapes

La méthodologie peut être résumée en5 étapes successives, selon le schéma« bouclé » ci-dessous, qui mettent enœuvre les concepts clefs et définitionsprécédemment clarifiées. Le point de départ, l’Etape 1, est l’iden-tification de la situation problématique.

En quelque sorte, « la solution, c’est leproblème ! ».

Grille d’analyse stratégique

La grille, présentée ci-dessous (Cf.tableau 3), est établie pour l’ensembledes acteurs au sein de l’organisation,concernés par la problématique.

Exemple pratique du secteurde l’équipement automobile

Dans le présent cas concret analysé,nous ne rentrerons pas dans les détailspurement techniques.Néanmoins, comme dans toute missiond’audit, l’auditeur interne doit s’investir

Schéma 1

Grille d’analyse stratégique - Tableau 3

Système d’ActionConcret (SAC)

Situation problé-matique récurrente /

non résolue

Acteursconcernés

Problèmes pour eux(enjeux) / objectifs

individuels

Ressources(atouts)Pouvoirs

Contraintes(handicaps,limitations)

Zonesd’incertitude

Stratégies

Etape 1

Etape 2

Etape 3

Etape 4

Etape 5

Etape 1 Identifier la situation problématique récurrente / non résolue.

Etape 2 En déduire les acteurs concernés (individus ou groupes) (et leurs interactions).

Etape 3 Etudier chaque acteur en détail. C’est-à-dire identifier :• les problèmes (enjeux) pour eux (leurs objectifs individuels), • les ressources,• les pouvoirs, • les contraintes, • les zones d’incertitudes.

Prendre en compte la rationalité propre de chaque acteur, « se mettre à sa place ».

Etape 4 En déduire les stratégies de chaque acteur.

Etape 5 Déterminer le système d'action concret sur base de l’interaction entre les stratégies.

12

IDÉES ET DÉBATS


dans la compréhension du « businessprocess ».

Etape 1 : Description de la situation,du problème récurrentDans un contexte de « Just In Time », leproblème récurrent était la difficultépour l’équipementier concerné de res-pecter les délais de livraison des pièces,avec pour conséquence, en cas de déra-page, la mise en danger, chez le client,de la date de production série des voi-tures.Vu la multiplicité des fournisseurs pourun même véhicule, il est impérieux, pourchacun d’eux, de respecter le (même)délai prévu.De nombreuses pièces sont produitespar injection plastique (procédé dit de« plasturgie »).Le respect des délais de réalisation desoutillages de production série (aussidésignés « moules » d’injection), desti-nés à cette injection plastique, est, dansle cas analysé, sur le chemin critique.Le schéma générique de planning dedéveloppement est donné ci-contre(schéma 2).

Etape 2 : Identification des acteurs etde leurs interactions • Le client : celui pour lequel travaillel’entreprise. Nous l’avons écrit entreparenthèses, car sa voix, qui pourraitutilement contribuer aux arbitrages età faire collaborer les divers acteurs, nese fait pas suffisamment « entendre »partout à l’intérieur de l’organisation.

• Le chef de projet : responsable d’unestructure matricielle, il n’a pas de pou-voir hiérarchique direct – mis à partson « leadership » personnel et infor-mel – sur les ressources spécialisées(conception, méthodes de production,achats…) qu’il doit animer.

• Le responsable « études » (designpièce / produit). Il réalise la concep-tion sur base d’un environnement(fichier électronique « 3D ») et ducahier des charges fournis par leclient. Soucieux du travail bien fait, ilpeaufine les détails de conception despièces avant de livrer ses plans et spé-cifications aux autres acteurs (achats,méthodes…). Sans le savoir, parmanque de connaissance de règlespointues de plasturgie (démoulagedes pièces notamment) et de commu-nication avec l’outilleur, il prend par-

fois des décisions sub-optimalesaffectant l’aptitude future de l’outil-lage à réaliser la pièce conçue.

• L’acheteur de l’outillage d’injec-tion : personne du service « achats »,chargée d’approvisionner l’outillagenécessaire auprès d’un outilleur spé-cialisé à sélectionner.

• Le responsable « méthodes » : per-sonne chargée de la conception duprocessus de production (ligne ou cel-lule d’assemblage) au sein de l’équi-pementier. Il doit s’assurer de laconformité des pièces issues de l’ou-tillage d’injection, surtout en ce quiconcerne leur capacité de répondreaux exigences de « DFM » (Design ForManufacturing) (aspect, interchangea-bilité, tolérances dimensionnelles…).

• L’outilleur : concepteur, réalisateur etmetteur au point de l’outillage d’in-jection nécessaire à la production ensérie, sur base des plans et spécifica-tions qui lui sont fournis comme don-nées d’entrée. Il va s’assurer préalablement de lafabricabilité des pièces telles que des-sinées et faire ses remarques voiredemandes de modifications deconception de la pièce auprès del’équipementier lorsque qu’il estimeraque des règles de plasturgie ne sontpas respectées, pour réduire la com-plexité de l’outillage (incompatibilitéavec le délai imposé) ou encore pourdes raisons de coût.

• Le « plasturgiste » : une fois l’outil-lage série mis au point par l’outilleur,il l’intègre sur une machine d’injec-tion industrielle (presse) et optimiseles paramètres de production (tempsde cycle de production unitaire, tem-

pérature, pression, viscosité…). Cesréglages fins terminés, il procède à laproduction des pièces en série et leslivres, au cadencement convenu, àl’équipementier pour alimenter saligne d’assemblage.

Les interactions entre principaux acteurssont modélisées dans le schéma 3. Lescritères, auxquels chaque acteur est sen-sible, sont indiqués et le cas échéantsoulignés au droit de chacun d’eux.Il est intéressant, à ce stade, deconstruire également le « socio-gramme » (ou « diagramme d’affini-tés »), relatif à la qualité des relationsentre acteurs (échelle de « très positif »+ + à « très négatif » - -, en passant parle point « neutre » =). Cette méthode,qui n’est pas décrite dans l’approche ori-ginelle Crozier / Friedberg, est un apportde François Dupuy7. La finalité du socio-gramme est de contribuer à discerner le« jeu des acteurs », et les conflits oualliances qui peuvent se développerdans le « Système d’action concret ».La grille d’analyse stratégique complèteest consolidée pour les étapes 2 à 5 enune seule fois, par souci de concision,pour éviter des redondances dans leprésent exposé.Les commentaires spécifiques sontnéanmoins circonstanciés par étape (Cf.tableau 5).

Etape 3 : Identification des objectifs /problème à résoudre ; ressources /pouvoirs ; contraintes ; incertitudepertinenteLes objectifs / intérêts individuels et pro-blèmes à résoudre pour chaque acteurs’identifient et s’interprètent, en tenant

Top R. O. DMS

Montée en cadence

Mise au point

Off-Tools E. I.

Temps

RéalisationDesign(plans)

Glossaire :R. O. : Réalisation OutillageE. I. : Echantillons initiauxDMS : Date de mise en serviceOff-Tools : Pièces sorties d’outil

Schéma 2


compte du schéma d’interaction del’étape 2 du tableau 4, au cours decontacts, de rencontres, d’interviewsavec les divers acteurs de l’organisation.Les pouvoirs ont été, dans la présenteanalyse de cas, intégrés à la colonne« ressources ».Les contraintes sont explicites.Les zones d’incertitude pertinenteapparaissent comme étant lesdemandes de modifications (les fameux« change requests » selon la terminologieanglo-saxonne) du design, révélatricesdu manque de communication, de syn-chronisation préalable des besoins etdes critères déterminants pour chacundes acteurs, et donc du manque d’ajus-tement entre priorités des acteurs, parexemple en ce qui concerne :• le responsable « études » : respecterles contraintes d’interface du produitavec l’environnement géométriquefourni par le client ;

• l’outilleur : assurer la simplicité et lafabricabilité de l’outillage (démoulageaisé de la pièce à produire) ;

• le plasturgiste : veiller à l’utilisation

flexible de l’outillage et à la possibilitéde réglages faciles.

Idéalement, dans la philosophie du« Just In Time », la devise est « Do it rightfirst time ! » (« Faites-le bien du premiercoup !»). Cependant, les demandes demodification, fréquentes, sont naturelle-ment génératrices d’itérations dans leprocessus de développement et se tra-duisent par des coûts et délais supplé-mentaires, qu’il importe de maîtriser.Les références aux modifications sontmarquées d’une petite flèche obliquedans les 3 colonnes de la grille, relativesà l’étape 3.

Etape 4 : Identification de la stratégiede chaque acteurA nouveau, les stratégies / attitudes quedéveloppent les acteurs sont différen-ciées selon les sensibilités déjà présen-tées dans les schémas d’interactiondéveloppés à l’étape 2.L’organisation des projets était certifiéeISO9001 (Système de Management dela Qualité). Des procédures détaillées et

validées existaient pour les diversacteurs et les faisaient intervenir souventde façon séquentielle, donc d’une cer-taine façon en silos ou guichets succes-sifs. Une conséquence, par exemple,pour l’homme « études » est de vouloirse conformer à sa procédure et de nelivrer son design que lorsque tous lesdétails de conception, dont il est sup-posé être l’expert, sont fignolés.

Etape 5 : Détermination du Systèmed’action concret (SAC)Cette étape vise à déterminer le méca-nisme d’interaction (alliance / régula-tion), c’est-à-dire :• les coalitions dominantes et lesacteurs périphériques ;

• les types d’arrangements sur lesquelsrepose la coopération entre acteurs.

En examinant le schéma d’interactiondes acteurs et le sociogramme de l’étape2, il apparaît deux pôles d’acteurs(groupes d’alliance potentielle) ayantdes intérêts assez convergents :• d’une part : l’équipe projet propre-ment dite, soit l’homme « études »,l’homme « méthodes » et le chef deprojet. Le chef de projet et l’homme« méthodes » sont en interaction fré-quente. Ils sont le plus près de la voixet de la pression (exigences) du client(externe). L’exigence de délai est pré-gnante dans leurs actions, qui intè-grent le paramètre temps dans toutesleurs décisions ;

• d’autre part : les partenaires projetinternes (soit l’acheteur et le plastur-giste) et externe (l’outilleur) à l’entre-prise. L’écho de la voix du client quiles atteint est atténué ; le critère dedélai n’était pas prioritaire pour eux.

Référons-nous maintenant aux flèches(en pointillés) d’interaction et d’ajuste-ment, superposées à la grille d’analyseconsolidée.Le chef de projet et l’homme« méthodes » constituent une coalitiondéterminée à faire respecter le délai.Le chef de projet est légitime etreconnu ; il représente la voix du clientau sein de l’équipementier et de l’équi-pementier chez le client. Il endosse laresponsabilité ultime vis-à-vis du client. L’homme « méthodes » ressent égale-ment la pression du client du fait que cedernier procède à la réception, sur place,

OUTILLEUR

ACHETEUR

PLASTURGISTE

HOMME ÉTUDES

HOMME MÉTHODES

CHEF DE PROJET

Prix outillage (en 1ère négociation)Délais

Qualité outillage (perf. futureproduction)

Coût des étudesQualitéDélais conception

QualitéCoûtDélai

QualitéCoûtDélai

Coût outillageQualité

Schéma 3

Partenaireexterne

Partenaires projetinternes à l’entreprise

EQUIPE PROJETproprement dite

Relations Outilleur Acheteur Plasturgiste Méthodes Etudes

Acheteur +

Plasturgiste ++ +

Méthodes = - - -

Etudes = = + -

Chef deprojet = - - + -

Tableau 4

14

IDÉES ET DÉBATS


de l’aptitude à la production de la ligned’assemblage. Dans les flux de commu-nication (depuis le client jusqu’à l’outil-leur), l’homme « méthodes » occupeune position centrale dans l’organisa-tion pour la négociation entre acteurs.

Afin de réduire de façon significative lesdélais, un changement organisationnelet culturel a été négocié, à l’initiative duchef de projet et des méthodes, pourréaliser un co-design dans toutes lesphases de conception, visant à undécloisonnement des silos organisation-nels. En pratique : • « ingénierie simultanée » au lieu de« séquentielle », de l’équipementierchez le client ;

• « intégration précoce » de l’outilleurchez l’équipementier.

* **

L’auditeur interne est, depuis toujours, àl’écoute des organisations. Paradoxa-lement, il doit veiller à développer unesensibilité nouvelle… de « sociologue ».Il a besoin en effet de connaître les uni-vers humains dans lesquels les organi-sations travaillent et décident, afin d’ap-préhender la perception et la situationdes acteurs et d’être mieux à même dela faire évoluer.

L’analyse systémique / sociologique, parun effort d’empathie et de compréhen-sion des interactions entre acteurs, per-met :• de déceler la dynamique de l’organi-sation (considérée comme un sys-tème) ;

• d’anticiper les réactions et les blo-cages face à un problème ou unrisque :- identifier les acteurs à convaincre etles modifications de leur perceptiondes enjeux ;- maîtriser les effets des décisionsd’un acteur et de celles des autres ;- identifier les voies d’actions possi-bles ;

• de rechercher des modes créatifs decoopération et des recommandationspertinentes, afin d’améliorer la perfor-mance de l’entreprise.

De par sa nature systémique, l’approchestratégique n’est pas un simple outil deplus à la disposition de l’auditeurinterne.

Elle peut l’aider, de façon innovante, àmieux faire face à la diversité et à lacomplexité des organisations humaines,confrontées en permanence à des pro-blèmes / risques et à des changementsmultiples.

1 “Bounded Rationality and OrganizationalLearning“, Organization Science 2 (1), 125–134,Herbert Simon, 1991. “A Primer on Decision Making: How DecisionsHappen”. New York: The Free Press, JamesMarch, 1994.

2 « Le pouvoir et la règle », Michel Crozier etErhard Friedberg, Ed. Seuil, 1981.« L’acteur et le système », Michel Crozier etErhard Friedberg, 1977, rééd. Seuil, coll. « Pointsessais », 1992.« Etude sociologie de l’organisation », MichelCrozier, Erhard Friedberg, Philippe Bernoux,source internet.« Une présentation de l’analyse stratégiqueselon Michel Crozier et Erhard Friedberg.Présentation schématique », Gérard Pirotton,source internet.

3 Voir à ce sujet l’excellent article « L’économierepose-t-elle sur La confiance ? », Xavier de laVega, Sciences humaines, août-septembre2012, n° 240. Il met notamment en évidence lerôle du « capital social » dans le développement,autrement dit « les traits de la vie sociale –réseaux, normes et confiance – qui facilitent lacoordination pour un bénéfice mutuel », selonla définition de Robert Putnam. Par ailleurs, enmatière de coopération, dans le monde de l’en-treprise comme ailleurs, la confiance est essen-tielle. Elle ne va cependant pas de soi. AdamSmith suggère que l’intérêt bien compris dechaque individu est de veiller à celui de ses par-tenaires. Ce raisonnement atteint cependantvite ses limites, puisqu’il est des situations, bienidentifiées par la théorie des jeux, dans les-quelles l’intérêt individuel conduit à faire lecontraire de ce qui se révèle mutuellementavantageux. La confiance permet de pallier lesdifficultés. On peut en effet la définir commeune « hypothèse sur une conduite future »(Georg Simmel) ou encore comme « une atti-tude à l’égard d’autres personnes, dont nousespérons qu’elles se révéleront fiables » (StanfordEncyclopedia of Philosophy).

4 « Organisation et changement – Comment tirerle meilleur parti du potentiel de votre entre-prise », Daniel Boeri et Stéphane Bernard, Ed.MAXIMA, 1998.

5 « Le management du changement et de lasécurité en ces temps d’incertitude et de stress »,Dr. Theo Compernolle, M.D., Ph.D., Conférenceeffectuée à Infrabel (Executives Day, 2011,Bruxelles).

6 En plus des références bibliographiques princi-pales (M. Crozier et E. Friedberg), voir également« L’analyse stratégique des projets », RémiBachelet, Enseignant-chercheur, Ecole Centralede Lille, cours mis à jour le 12 mars 2013, sourceinternet.

7 « L’alchimie du changement », François Dupuy,Ed. DUNOD, 2001« Cours de sociologie des organisations »,

François Dupuy, CEDEP, INSEAD, Fontainebleau.« Sociologie du changement – Pourquoi etcomment changer les organisations », FrançoisDupuy, Ed. DUNOD, 2004.

ActeursObjectifs,

problème àrésoudre

Ressources /pouvoirs Contraintes Stratégies

Outilleur Gagner del’argent

Facturationdes MAP

(si modifications)

Coût des MAP (simauvaise

réalisation) àcharge

Qualité du moulejuste nécessaire

AcheteurRéduire le prix del’outillage en 1ère

négociation

Seul négociateurvis-à-vis del’outilleur

Qualité du moule Se désengager dela phase de MAP

PlasturgistePas de problèmeavec le moule en

production

Modifications -Expertise -

Partenariat avecl’outilleur

Coûts - DélaisSe faire couvrir

par l’hommeméthodes

Méthodes Piloter les délais Chef de projet Pas de pouvoirhiérarchique

Faire intervenir lepouvoir du chef

de projet

EtudesPas de

modifications duplan de pièce

Cahier depréconisations

Validation du planen équipe

Délais deconception - Pas de

ressources MAPpour modifs du plan

Appliquer lesprocédures

Chef deprojet

Maîtriser les délais(pas seulement les

subir)Client Pas de pouvoir

hiérarchiqueRelayer le pouvoir

du client

Tableau 5

Etape 2

Etape 5 : interactions d’ajustement

Etape 3 Etape 4


Mervyn King a un emploi dutemps chargé : « La semainedernière, j'étais à Vienne, la

semaine précédente, en Espagne,aujourd'hui, je suis à Londres, et la semaineprochaine, je serai à Sydney, puis àBangalore. » Un tel degré de sollicitationtémoigne de l'intérêt que portent lesorganisations et les pays au reportingintégré – et montre que Mervyn King etses collègues de l'International IntegratedReporting Council ont réussi à convaincrele monde entier de la pertinence (et dela nécessité) de cette idée.

Juriste de formation (il fut le plus jeunejuge de l'histoire à démissionner de sesfonctions, à tout juste 41 ans), MervynKing est devenu ensuite administrateurnon dirigeant de plusieurs sociétéscotées, ce qui lui a donné, dit-il, unevision peu courante des organisations.« J'ai d'abord travaillé sur la gouvernanceen tant qu'avocat, déclare-t-il, puis en tantqu'administrateur non dirigeant et, sou-vent, le fait de passer de l'autre côté de labarrière vous donne matière à réflexion. »

Il a commencé à s'intéresser de près auconcept de reporting intégré alors qu'il

devait élaborer des lignes directrices surla gouvernance pour l'Afrique du Suddurant la période qui a immédiatementsuivi la fin de l'apartheid. Le seul rap-port de ce type qui existait auparavantétait le rapport Cadbury, publié endécembre 1992 au Royaume-Uni.

Comme le raconte Mervyn King : « En1992, nous étions à l'aube de la démo-cratie. L'Institut desAdministrateurs et lesgrands organismes decomptabilité sou-haitaient disposerde lignes direc-trices qui aide-raient les res-ponsables àdiriger et à gérerles entreprises,car les circuits clas-siques de l'économieétaient nouveaux pourla plupart d'entre eux. J'aiaccepté ce projet, en précisant tou-tefois que nous devions partir sur de nou-velles bases, car nous étions une nouvellenation. J'ai invité des personnes de tous lessecteurs à participer au groupe de travail,

du président de la Bourse de Johannesbourgaux représentants des syndicats de l'indus-trie textile. »

Approche globalecontre approche partielle

Ce groupe de travail a produit en 1994le premier rapport King1, qui est devenule paradigme de l'évolution d'uneapproche « partielle » vers une approche« globale » en matière de gouvernance.Comme le précise Mervyn King, unmodèle partiel est centré sur les action-naires, les cours et les résultats, même sicette démarche a un impact négatif surla société ou sur l'environnement.

« Nous avons précisé que le conseil doitidentifier les principales parties pre-

nantes de l'activité, comprendreleurs besoins ainsi que lesattentes de la société, etintégrer ces facteurspour prendre desdécisions dansl'intérêt de lavaleur globale del ' e n t r e p r i s e ,indique-t-il. Leconseil doit exami-ner les impacts posi-

tifs et négatifs de l'or-ganisation en termes

financiers, sociaux et envi-ronnementaux. »

Le groupe créé pour élaborer le rapportKing ne s'est jamais dissout, et MervynKing a pu ainsi tirer parti de l'expérience

Une nouvelle façond’appréhender la valeurd’une entreprise

« Le grand publicest aujourd'hui devenu

actionnaire ; ce statut n'estplus réservé à quelques famillesfortunées. Il est du devoir deceux qui gèrent ces fonds des'interroger sur la pérennitéde la société dans laquelle

ils investissent. »

Comment pouvez-vous faire en sorte que les organisations évaluent et rendentcompte des facteurs qui indiquent vraiment aux parties prenantes si elles sont sus-ceptibles de prospérer à long terme ? Mervyn King explique son implication delongue date dans la gouvernance et sa volonté, en tant que président del'International Integrated Reporting Council (IIRC), de modifier la façon dont nousappréhendons nos entreprises.

Texte de Ruth Prickett

16

IDÉES ET DÉBATS


collective pour actualiser le rapport en2002 et 2009.

Le rapport King a adopté le principenon contraignant « se conformer ouexpliquer », désormais au cœur du Codede gouvernance britannique (2010). Lesmérites du principe du reporting globalont été vantés dans le monde entier et,en 2001, Mervyn King a été invité à pré-sider le comité de pilotage des NationsUnies sur la gouvernance, et à réécrireles dispositions relatives à la gouver-nance et la surveillance pour les NationsUnies et l'Organisation Mondiale duCommerce.

Entre-temps, la situation mondiale aévolué, rendant les principes du repor-ting global plus pertinents que jamais.

Comme le souligne Mervyn King :« Toutes les entreprises pensent aujourd'huiaux attentes de leurs parties prenantes. Legrand public, à travers les fonds de pensionet les compagnies d'assurance, estaujourd'hui devenu actionnaire ; ce statutn'est plus réservé à quelques familles fortu-nées. Il est du devoir de ceux qui gèrent cesfonds de s'interroger sur la pérennité de lasociété dans laquelle ils investissent. Est-ellevéritablement viable dans un monde enévolution ? »

Alors que les dirigeants d'entreprisepensaient autrefois que le monde dispo-sait de ressources illimitées et d'unecapacité infinie à absorber les déchets,chacun sait aujourd'hui que ce n'est pasle cas. La population mondiale aug-mente et les actifs naturels sont limitéset s'épuisent. « Les administrateurs nepeuvent plus penser qu'ils vont pouvoirpoursuivre leurs activités comme si de rienn'était, c'est pourquoi les grandes entre-prises modifient leur façon d'opérer. »

Parallèlement, le reporting est devenunettement plus complexe depuisl'époque où seules les données finan-cières devaient être présentées. Cetteévolution a fait augmenter les pressionsen faveur d'un modèle qui permet à unlarge éventail de fonctions de procéderà un reporting.

Comme l'explique Mervyn King : « Versla fin du XXe siècle, l'analyse des sociétéscotées montrait que la capitalisation bour-sière était très éloignée du total de la valeurcomptable selon les normes financières clas-siques. Jusqu'à 80 % de la valeur d'uneorganisation n'était pas financière, et per-sonne ne savait vraiment comment l'expli-quer. Nous ne communiquions pas d'infor-mations à ce sujet et les investisseursn'étaient pas informés. »

Il ajoute que les rapports financiers sontune photographie de la situation finan-

cière de l'entreprise à un instant T. « Vouspouvez difficilement, à partir de ces infor-mations, effectuer une évaluation avisée dela stabilité et de la viabilité de l'entrepriseen temps de crise financière mondiale. »

Les préoccupations sur l'inadéquationdes dispositions relatives au reportingont incité l'International Federation ofAccountants (IFAC) à se réunir en 2009.Mervyn King a interrogé les participantsà la réunion sur ce thème, et a intégré cenouveau concept dans le troisième rap-port King publié la même année.

© photo : Peter Searle


L'idée a fait des émules et a débouchésur une réunion, organisée par le PrinceCharles, qui s'est tenue au St James'sPalace. Mervyn King et Sir Michael Peat,à l'époque principal secrétaire privé duPrince Charles, ont invité des personna-lités, dont les présidents de l'IASB, duFASB et de l'IFAC, les présidents desquatre grands cabinets d'audit et lesprésidents de l'IOSCO, de laBanque Mondiale et duConseil mondial desentreprises pour ledéve loppementdurable.

Tous ont acceptél'invitation et, desurcroît, tous ontconvenu dansl'heure que l'avenirreposait sur le reportingintégré, ajoute MervynKing.

Il a été étonné par la rapidité du consen-sus, mais pas par le verdict. À ses yeux,la meilleure illustration de la nécessitédu reporting intégré est celle de deuxpersonnages de bande dessinée : l'unest assis en équilibre instable sur untabouret comptant un seul pied, le repor-ting financier, tandis que l'autre est fer-mement assis sur un tabouret à troispieds, correspondant au reporting finan-cier, au reporting environnemental et aureporting social.

Cela dit, tomber d'accord est une chose ;mais définir la façon de mettre concrè-tement en œuvre le reporting intégré etmodifier la façon dont les organisationsappréhendent et agissent sur le déve-loppement durable en est une autre.Pour commencer, les organisations doi-vent, selon Mervyn King, modifier leurfaçon de communiquer : « Depuis près de80 ans, nous effectuons un reporting

conforme aux normes IFRS, mais lesconsommateurs, les salariés et la société engénéral ne le comprennent pas. Nous com-muniquons dans un langage incompréhen-sible, et les nouveaux garde-fous créés dansle sillage de scandales tels que celui d'Enronn'ont fait que le rendre plus complexeencore. » Lors de l'avènement des rap-ports sur le développement durable, les

organisations se sont simplementmises à produire deux rap-

ports, « tous deux aussiincompréhensibles pourles parties prenantesordinaires ».

Ce point estimportant car,selon MervynKing, la façon decommuniquer des

entreprises influenceleur comportement.

Même les administrateurslisent rarement les rapports annuelsdans leur intégralité, rebutés par la tailleet la complexité de la plupart d'entreeux.

Référentiel de changement

C'est pourquoi l'International IntegratedReporting Council, présidé par MervynKing, a élaboré un référentiel qui établitles principes du reporting intégré etdonne des lignes directrices sur leurmise en application. L'IIRC collaboreavec des organisations importantes dumonde entier pour conduire des étudespilotes qui mettent en œuvre ces prin-cipes et tirent les leçons de ces expé-riences.

« L'ensemble du conseil doit comprendretous les aspects du rapport et travailler demanière collégiale », déclare MervynKing.« Le rapport doit être clair, concis et com-

préhensible. Pour pouvoir rendre compte,vous devez être compréhensible. »

Le nouveau référentiel n'est pas obliga-toire mais, selon Mervyn King, degrands propriétaires d'actifs du mondeentier y sont favorables, et les pays éla-borent des codes en tenant compte dureporting intégré.Néanmoins, les référentiels et les lignesdirectrices trouvent leurs limites dans lespersonnes qui les appliquent. Si la dou-ble pression liée aux préoccupations desinvestisseurs et au danger d'une mau-vaise publicité en cas de problème peutinciter même les dirigeants réticents àfaire attention, l'audit interne aura unrôle clé à jouer dans la mise en œuvre dureporting intégré.

« L'audit interne est le ciment de la gouver-nance moderne, et le bras droit des admi-nistrateurs non dirigeants », estimeMervyn King. « L'audit interne pourraitégalement être synonyme d'une assuranceindépendante. Lorsque j'ai débuté ma car-rière, les auditeurs internes étaient considé-rés comme des vérificateurs. Ce n'est plus lecas. Aujourd'hui, ils sont essentiels à lagouvernance et aux contrôles qui gèrent lafaçon dont l'entreprise dégage des gains. »Une stratégie non contrôlée n'est pasune stratégie, et la seule personne quisait véritablement en juger, c'est le res-ponsable de l'audit interne. Celui-ci estégalement chargé de veiller à ce quel'équipe d'audit interne dispose des res-sources nécessaires.

« Les auditeurs externes examinent princi-palement les données financières, ce quiparaît logique, mais les auditeurs internesexaminent tous les aspects de l'entreprise.L'équipe d'audit interne doit donc disposerde ressources plus importantes que les audi-teurs externes car ses attributions sont plusétendues. »

L'importance du rapport King s'explique également par son adoptiondu principe « se conformer ou expliquer », désormais au cœur

du Code de gouvernance britannique (2010)2.

« L'ensemble du conseildoit comprendre tous

les aspects du rapport. »

18

IDÉES ET DÉBATS


Article traduit et reproduit avec la permission de l’IIA UK.Cet article a été publié dans sa version originale dans la revue Audit & Risk publiée par l’IIA UK.

1 Le rapport Viénot, premier rapport français sur le gouvernement d’entreprise, date de 1995.

2 Dans le Code de gouvernement d’entreprise des sociétés cotées, révisé en juin2013 par l’AFEP/MEDEF, il estmis en avant la règle « appliquer ou expliquer ». Cette règle est renforcée par la mise en place d’un HautComité de suivi de l’application du code ».

Elle doit également être indépendante,et pouvoir communiquer directementavec le conseil. Selon Mervyn King, l'au-dit interne doit pouvoir critiquer sanscrainte, ce qui est généralement possibles'il peut communiquer directement avecle comité d'audit.Les responsables de l'audit internedevraient également assister aux réu-nions sur la stratégie. Mervyn Kingajoute : « Ils doivent pouvoir s'opposer à lamise en œuvre d'une stratégie qui ne peutêtre contrôlée, ou qui ne peut êtrecontrôlée avec les ressourcesexistantes. »

Mervyn Kingsouligne que laseule preuvetémoignant del'exactitude ducontenu desdocuments duconseil est l'as-surance indépen-dante donnée toutau long de l'année.

« L'audit interne élabore un plan d'auditinterne fondé sur les risques, qui concordeavec le plan d'audit externe fondé sur lesrisques. La mise en œuvre de ce principepour le reporting intégré peut nécessiterdavantage de ressources spécialisées au seinde l'équipe d'audit interne, par exemple unavocat spécialiste de l'environnement,explique-t-il. L'époque où les auditeursinternes étaient recrutés parmi les experts-comptables est révolue. Aujourd'hui, nousdevons attirer des collaborateurs d'horizonstrès différents. »

Les responsabilités des administrateursn'ont pas beaucoup changé malgré lesmodifications apportées aux normes degouvernance. Toutefois, leur rôle estdevenu nettement plus complexe,

notamment en raison de risques émer-gents dans des domaines tels que lesmédias sociaux. Cela signifie, selonMervyn King, que les administrateursont plus que jamais besoin d'un auditinterne robuste.

« Jamais je n'aurais accepté d'être adminis-trateur non dirigeant d'une société quin'aurait pas un excellent département d'au-dit interne. Il faudrait être fou pour prendrece risque. J'ai toujours tenu, dans le cadre

de ma due diligence, à rencontrerle responsable de l'audit

interne d'une entreprisequi me proposaitd'être administra-teur non diri-geant. C'estessentiel. »

Quelles sont lesp r o c h a i n e sétapes pour

Mervyn King etpour le reporting inté-

gré ? « Les évolutionsseront nombreuses et, à terme,

nous publierons sans doute la deuxièmeversion du référentiel, Le comité du rapportKing continue de se réunir chaque trimes-tre, comme c'est le cas depuis 1992. Nousserons donc probablement amenés à réviserégalement la deuxième version du référen-tiel. La continuité des connaissances est cru-ciale, même si des membres quittent lecomité. »

Apprécie-t-il de voyager en perma-nence ? « J'ai vraiment le sentiment decontribuer à faire évoluer les choses, et quepeut-on souhaiter de plus ? Depuis 2000, jem'efforce de faire progresser la qualité dureporting et de m'assurer que les entre-prises sont pérennes, et je suis témoin decette évolution. »

À propos de Mervyn King

• Titulaire d'un diplôme de droit(Bachelor of Arts) de l'Universitéde Witwatersrand.

• 1965 - 1980 : Avocat, puis juge àla Cour Suprême d'Afrique duSud.

• 1980 - 1993 : Président de FrameGroup Holdings et président dela division banque d'affaires deFirst National Bank. Président etadministrateur de CapitalAlliance et Metro Cash & Carry.Premier président de l'organisa-tion caritative sud-africaineOperation Hunger, dont il estprésident honoraire à vie.Membre fondateur del'Arbitration Foundation ofSouthern Africa.

• 1993 - aujourd'hui : Président duKing Committee on CorporateGovernance, qui a publié sonpremier rapport (King I) en 1994.

• 2000 - 2008 : Représentant del'Afrique du Sud au tribunal arbi-tral de la Chambre de commerceinternationale de Paris. Premierprésident de la CommonwealthAssociation of CorporateGovernance et ex-gouverneur del'International CorporateGovernance Network.

• 2008 - aujourd'hui : Membre dugroupe consultatif pour le sec-teur privé de la Banque mondialesur la gouvernance et membredes comités consultatifs interna-tionaux de Stern Stewart (États-Unis), de Tomorrow's Company(Royaume-Uni), et de la CentralEuropean Corporate GovernanceAssociation. Il préside l'AsianCentre of Corporate Governance,le United Nations Committee onGovernance and Oversight, et laGlobal Reporting Initiative.Président de l'InternationalIntegrated Reporting Council.

« Jamais je n'auraisaccepté d'être administrateurnon dirigeant d'une sociétéqui n'aurait pas un excellentdépartement d'audit interne.

Il faudrait être foupour prendrece risque. »


RENCONTRE AVEC ...

par l’International Integrated ReportingCouncil (IIRC) poursuivent effective-ment le même objectif, qui est d’inciterles entreprises à élargir l’informationqu’elles fournissent sur des thèmes quiont pris une dimension stratégique cesdernières années :• les impacts sociaux, environnemen-taux et de gouvernance de leur acti-vité,

• l’articulation de la stratégie entrecréation de valeur et démarche de res-ponsabilité.

L’idée sous-jacente est que la créationde valeur n’est pas exclusivement liée àdes critères financiers mais repose éga-lement sur les éléments non financiers,sur lesquels les entreprises se doivent dedonner des indications pour renforcer laconfiance des investisseurs en leursobjectifs et résultats.Le rapport intégré sera la résultante deces deux initiatives. Il constituera unepartie autonome de la communicationfinancière de l’entreprise et permettraaux investisseurs de mieux appréhenderla capacité de l’entreprise à créer de lavaleur … ou à ne pas en détruire.

L. V. : Quelles-en sont les similitudes et lesdifférences ?

R. R. : La Loi Grenelle 2, comme le réfé-rentiel IR de l’IIRC, retient une approcheincitative et peu coercitive. Aucune

Louis Vaurs : La loi Grenelle 2 a prévu laproduction de données extra financières ; deson côté, l’International IntegratedReporting Council, présidé par MervynKing, auteur de trois rapports sur la gou-vernance, a élaboré un référentiel qui établitles principes d’un reporting intégré. Cesdeux initiatives participent-elles des mêmespréoccupations ?

René Ricol : Le nouveau reporting RSEinstauré par la loi Grenelle 2 et le réfé-rentiel international pour le reportingintégré (IR) publié en décembre 2013

sanction civile ou pénale n’est, en effet,explicitement prévue en cas de défautd’application par les entreprises concer-nées. Le référentiel pose pour le moment lesgrands principes et concepts fondamen-taux du reporting intégré. A ce stade, il nedéfinit aucun indice sectoriel ni aucunindicateur devant être suivi par lesentreprises.Le décret d’application de l’article 225de la loi Grenelle 2 publié le 26 avril2012 fournit pour sa part, une liste dethèmes et d’indicateurs mais ne définitpas ces derniers précisément, laissantainsi aux entreprises concernées laliberté de définir les indicateurs de per-formance environnementaux, sociaux etde gouvernance qu’elles suivront etcommuniqueront dans leurs rapportsintégrés. Un guide sectoriel de reporting RSEconforme aux dispositions de l’article225 de la loi Grenelle 2 a été publié enjuin 2013. Ce document a été élaboréconjointement par la Commission déve-loppement durable de la Compagnienationale des commissaires aux comptes(CNCC) et quatre sociétés foncièrescotées (Altarea Cogedim, Klépierre,Mercialys et Unibail-Rodamco). Ceguide apporte des recommandations enmatière de reporting RSE et proposenotamment douze indicateurs par thé-matique RSE (informations environne-mentales et sociétales).

Du reporting intégré aux normescomptables internationales,un vaste tour d’horizon surl’actualité des auditeurs interneset externes

René Ricol

Président du cabinet Ricol LasteyrieCorporate FinanceAncien président de l’IFAC (InternationalFederation of Accountants)

20

RENCONTRE AVEC ...


Une expérience variée aide aujourd’huià devenir un bon auditeur interne. Cetteévolution constitue un défi important etune opportunité pour la professiond’auditeurs internes.

L. V. : Il y a quelques années, vous avez étéprésident de l’IFAC (International Fede-ration of Accountants). Quelles relationsaviez-vous établies avec l’IIA ? Et quelsenseignements en avez-vous tiré ?

R. R. : Lorsque j’étais à la présidence del’IFAC, nous collaborions avec l’IIA. Ledéveloppement de travaux communsentre les auditeurs internes et les audi-teurs externes présente en effet un inté-rêt majeur.

Cette collaboration a notamment étéconcrétisée en juillet 2013 par la signa-ture, par l’IFAC et l’IIA, d’un Memoran-dum of Understanding portant sur la miseen place des normes comptables etd’audit internationales, de bonnes pra-tiques de gestion des risques et de gou-vernance

Les organisationsprofessionnelles comptables

L. V. : Contrairement à ce qui existe dans laplupart des autres pays, la France disposede deux organisations : La Compagnienationale des commissaires aux comptes etle Conseil supérieur de l’ordre des expertscomptables. Des tentatives d’unification sesont multipliées dans le passé mais n’ontpas abouti. Le regrettez-vous ?

R. R. : Je pense avoir réussi à mettre enœuvre de nombreuses réformes lorsquej’ai été président de la Compagnienationale des commissaires aux comptes(CNCC) et du Conseil supérieur del’Ordre des experts comptables(CSOEC). Cependant, je n’ai jamaisréussi à réaliser la fusion des deux insti-tutions représentatives des professionsd’expert-comptable et de commissaireaux comptes. C’est l’un de mes plusgrands regrets car je considère que lemaintien de ces deux organisations estune aberration absolue.

Le chantier de la mise en convergenceentre la Loi Grenelle 2 et le référentielde l’IIRC devra être finalisé pour la findu premier semestre 2014 avec le soucide ne pas entraîner de surcoût pour lesentreprises.

L. V. : Qui doit s’assurer de l’exactitude desdonnées extra financières ?

R. R. : Le rapport intégré doit faire l’ob-jet d’une vérification par un organismetiers indépendant accrédité par leCofrac1 ou par tout autre organismesignataire de l’accord de reconnaissancemultilatéral établi par la coordinationeuropéenne des organismes d’accrédi-tation.

A mon sens, ce sont les com-missaires aux comptes qui,de par leur connais-sance de l’entrepriseet des règles d’in-d é p e n d a n c equ’ils doiventrespecter, sontles plus légi-times pour réali-ser la vérificationdes rapports inté-grés. En tout état de cause, sice ne sont pas les commis-saires aux comptes qui remplissentce rôle, l’organisme concerné doit rem-plir les mêmes exigences en matière derestriction à la détention d’intérêtsfinanciers dans les sociétés qu’il vérifie,de limitation dans la fourniture deconseils ou prestations de services sus-ceptibles d’affecter son indépendance (ycompris à l’intérieur d’un réseau).

L’audit interne

L. V. : Dans un article récent paru dans larevue anglaise « Audit&Risks », consacré àMervyn King, et dont nous publions la tra-duction, il est rapporté les propos suivantstenus par ce dernier : « Jamais je n’auraisaccepté d’être administrateur non diri-geant d’une société qui n’aurait pas unexcellent département d’audit interne. Ilfaudrait être fou pour prendre ce

risque ». Que vous inspirent de tels pro-pos ?

R. R. : Lorsque l’on connaît l’ampleur dela responsabilité de l’administrateur, onpeut comprendre de tels propos.Mervyn King met l’accent sur le rôle pri-mordial joué par l’audit interne au seinde l’entreprise.L’existence d’un département d’auditinterne rattaché à la direction générale,indépendant et doté de moyens appro-priés à la réalisation de ses missions est,pour les administrateurs, une garantiede l’implication des dirigeants dans lagestion des risques et du bon fonction-nement des processus internes de l’en-treprise.

L. V. : Et quel regard portez-vousaujourd’hui sur une profes-

sion que vous avez bienconnue et qui a beau-coup évolué ?

R. R. : Dans unenvironnementéconomique enpleine mutation,le responsable del’audit interne

constitue l’un desrares membres du per-

sonnel capable d’avoir unevision globale de l’entreprise. Ce

positionnement lui permet de bénéficierd’excellentes opportunités de carrière ausein de l’entreprise. Aujourd’hui, la pro-fession s’est élargie et s’ouvre progres-sivement à des personnes ayant uneexpérience variée (contrôle de gestion,activités de financement, ressourceshumaines, risque et conformité, direc-tion opérationnelle…).

Un bon auditeur interne doit toujoursbien sûr déployer des qualités d’inté-grité, de rigueur et avoir une bonneconnaissance des risques de l’entreprise.Mais il doit aussi montrer qu’il est capa-ble de s’adapter à un environnementmouvant et développer des talents decommunication. Tout cela en étant dotéd’un courage inébranlable.

« Le responsablede l’audit interne constituel’un des rares membres dupersonnel capable d’avoir

une vision globale del’entreprise »


Certains refusent la fusion des deux pro-fessions en expliquant que pour bienprotéger les deux missions de conseil etde contrôle, il faut deux institutions. Enréalité, c’est faux. Quand j’étais prési-dent de la CNCC, je devais lutter contreles tentations de cette institution d’em-piéter sur le champ d’activité de la pro-fession d’expert-comptable en permet-tant aux commissaires aux comptes defaire du conseil, alors que ces derniersdoivent se limiter aux fonctions decontrôle. A l’inverse, quand j’étais pré-sident du CSOEC, j’ai mis un terme àdes projets de normes qui visaient uni-quement à concurrencer l’audit légal.

En réalité, l’existence de deux institu-tions exacerbe la concurrence entre lesdeux professions alors qu’il s’agit desmêmes professionnels. La situationserait différente s’il n’y avait qu’uneseule organisation qui non seulementsuperviserait mais également préserve-rait, dans le respect de l’intérêt général,l’existence de deux professions diffé-rentes et utiles toutes les deux : l’uneclairement de conseil et l’autre claire-ment de contrôle.

Je suis également de ceux qui considè-rent qu’en France, il faudrait que la pro-fession ne s’exprime que d’une seulevoix.

L. V. : La Fédération des Experts-compta-bles Européens (FEE) est une organisationrégionale de l’IFAC. Quel est son principalrôle ?

R. R. : La FEE n’est pas une agencerégionale de l’IFAC mais l'organisationreprésentative de la profession compta-ble en Europe. Son principal rôle est defavoriser l'harmonisation, l'améliorationet la libéralisation de l'exercice profes-sionnel et de la réglementation de laprofession en Europe. Ses travaux sontmenés au sein de groupes de travail.

L. V. : Sur quels sujets portent ses dernièresprises de position ?

R. R. : Le principal sujet sur lequel tra-vaille la FEE depuis 2010 est la réforme

de l’audit en Europe. Celle-ci a étéapprouvée le 3 avril dernier par le Parle-ment européen, mettant fin à un longdébat controversé. A l’issue de cettelongue période de préparation de laréforme, la FEE salue en particulierl’adoption des normes internationalesd’audit (ISA) et le renforcement du rôledes comités d’audit qui devrait contri-buer à améliorer la gouvernance desentreprises et l’indépendance du pro-cessus d’audit.

Les normes comptablesinternationales

L. V. : Les normes comptables internatio-nales (IFRS) sont éditées par l’IASB (Inter-national Accounting Standards Board),organisme privé dont le siège est à Londres.De nombreuses voix s’élèvent pour exigerque l’Europe acquière sa souveraineté dansl’élaboration de ses normes comptables. Par-tagez-vous leur point de vue ?

R. R. : Confrontés à la crise financière,de nombreux acteurs économiques etresponsables politiques ont prisconscience de l’impact potentiel desnormes comptables sur les perfor-mances affichées par les entreprises etsur l’économie dans son ensemble. Dèslors la question : « Qui doit décider desnormes comptables ? » devient cruciale.Cette question est cependant intime-ment liée à celle du rôle de ces normeset de leur objectif.

L’objectif affiché depuis le début desannées 2000 est celui de la comparabilitéde l’information financière diffusée surles marchés, pour permettre aux acteursde marché de prendre des décisionséclairées. C’est cet objectif que l’UnionEuropéenne a mis en avant lorsqu’elle aabdiqué son pouvoir de normalisationau profit d’une organisation indépen-dante, l’IASB. C’est cet objectif que leG20 a confirmé et que personne, mêmeles plus fervents critiques de l’IASB, n’ajamais remis en cause.

Pour être comparable, l’informationfinancière publiée par les sociétés sur lesmarchés doit être établie à l’aide de

René Ricol est président de RicolLasteyrie Corporate Finance, undes leaders de l’expertise financièreindépendante en France, créée en1987 avec Jean-Charles deLasteyrie et Gilles de Courcel.

Au cours de sa carrière, il a présidédes instances professionnellesnationales et internationales :président de la CompagnieNationale des Commissaires auxComptes puis du Conseil Supérieurde l’Ordre des Experts Comptableset de la Fédération Internationaledes Experts Comptables (IFAC).

Il s’est régulièrement impliqué dansles travaux et réflexions en faveurdes entreprises et de l’emploi.Président de l’Observatoire desDélais de Paiement de 1991 à 1998,animateur du groupe d’étude et demobilisation « Petites et MoyennesEntreprises » en 1991. Fondateurdu réseau Tous pour l’Emploi en2004. En août 2005, Il est nomméprésident de l’Agence pour lacréation d’entreprise (APCE) etpréside ensuite le conseild’orientation de FranceInvestissement.

En 2008, Nicolas Sarkozy, lui confieun rapport sur la crise financière,avant de le nommer médiateur ducrédit aux entreprises puiscommissaire général àl’investissement en 2010.Parallèlement, en novembre 2011,il devient coordinateur del'ensemble des dispositifs desoutien aux entreprises. Il a assuréces deux dernières fonctionsjusqu’à mai 2012.

22

RENCONTRE AVEC ...


normes mondiales. Face à cet enjeu, lenormalisateur ne peut qu’être mondial,il doit également être crédible et légi-time pour pouvoir imposer ses décisionsà l’ensemble des sociétés faisant appelaux marchés financiers.

Nul doute que l’IASB constitue bien uneorganisation mondiale. Sa légitimité estcependant entachée par le refus desEtats-Unis d’adopter les IFRS dans unavenir prévisible. Faut-il pour autant quel’Union Européenne se réapproprie lepouvoir de normalisation ? On ne peutpas le penser sérieusement, même si lesrelations entre les deux institutions doi-vent être profondément revues pour quela voix européenne puisse être mieuxentendue.

En mars 2013, le Com-missaire européenMichel Barnier aconfié à PhilippeMaystadt, ancienministre fédéralbelge, la missionde renforcer lacontribution del’Union Euro-péenne aux normescomptables internatio-nales (IFRS) et d’amélio-rer la gouvernance des organeseuropéens qui participent à leur élabo-ration.

Le rapport Maystadt propose d’agir surtrois leviers : (i) le maintien d’une pro-cédure européenne d’adoption normepar norme en incluant la possibilitéd’accepter ou de refuser une norme pro-duite par l’IASB, (ii) une réorganisationdu comité technique qui assiste la Com-mission Européenne, l’EFRAG, afind’accroître sa légitimité et sa représen-tativité, (iii) et un renforcement du dia-logue entre l’ARC, le comité de régle-mentation comptable, et l’EFRAG.

Je suis favorable à ces propositions etnotamment à celle qui vise à modifier lacomposition du board de l’EFRAG en yrenforçant la présence des normalisa-teurs comptables nationaux, qui dispo-

seraient désormais de 8 sièges sur 16.Ceux-ci constitueront le principal pilierdu board face aux parties prenantes (8membres comprenant notamment lesprofessionnels comptables et les entre-prises).

L. V. : L’une des critiques les plus souventfaites aux normes IFRS est relative au prin-cipe de la « full fair market value » quiaffirme qu’il n’y a qu’une juste valeur, lavaleur de marché. Quel est votre senti-ment ?

R. R. : Les normes IFRS ont fait la partbelle à la valeur de marché lorsque l’ons’est aperçu que la plupart des interve-nants sur le marché financier étaient

devenus des opérateurs à courtterme.

Pour percevoir la réalitédes choses, et sansdoute par défiance,les normalisa-teurs compta-bles ontdemandé à dis-poser non pasde la valeur his-torique mais de la

valeur de marché.Si cela peut faire sens

pour des instrumentscourt terme, cela n’est pas per-

tinent pour des instruments que l’entre-prise a vocation à exploiter ou à détenirsur le long terme.

Par ailleurs, maintenir la valeur de mar-ché en période de crise est dangereuxparce qu’il n’y a plus de marché. Si l’onprend l’exemple des banques, elles ontété contraintes de déprécier totalementla valeur de produits qu’elles avaientpourtant la capacité de porter parce qu’iln’y avait pas de marché à court terme.Cela a impacté leur bilan et donc leurcapacité à accorder du crédit. Cetenchaînement est absurde.Il est urgent de remettre un peu de bonsens économique dans des normescertes d’une grande technicité, mais dif-ficilement applicables. La quête perma-nente d’une plus grande sophisticationtechnique fait parfois perdre de vue l’es-

sentiel qui reste l’établissement d’uneinformation financière qui favorise l’in-vestissement de long terme.

L. V. : On a discuté bien souvent de lanécessité de faire converger les normes IFRSavec les normes américaines US GAAP. Ilétait même prévu que cette convergenceintervienne mi 2011 mais elle a été ajournéesine die. Pour quelles raisons ?

R. R. : L’accord entre l’IASB et le FASB(Memorandum of Understanding de Nor-folk) a été entériné en 2002 et renouveléen 2006 par les deux normalisateurscomptables en vue de faire convergerleur référentiel normatif. La première étape de cette remise encause a été l’annonce par la SEC ennovembre 2007 qu’elle supprimaitl’obligation de réconciliation entre lesUS GAAP et les IFRS pour les sociétéscotées aux Etats-Unis.En effet, depuis cette date, les normesIFRS ont été de plus en plus critiquéesde l’autre côté de l’Atlantique. Ontnotamment été invoqués le manque de« solidité » des normes IFRS, le manqued’indépendance de l’IASB et son inca-pacité d’« enforcement ». Les américainsont toujours considéré que leurs normesétaient les meilleures et que le mondeentier devait les adopter.

L. V. : Considérez-vous que cette conver-gence est indispensable ? Et si oui, avez-vous bon espoir que les discussions repren-nent ?

R. R. : Encore une fois, l’enjeu est mon-dial, les entreprises ont besoin d’un lan-gage internationalement reconnu.Les normes IFRS sont certes très sou-vent critiquées en France ou aux Etats-Unis, mais il convient de reconnaîtrequ’elles sont aujourd’hui largement uti-lisées. De grands pays comme la Russie,le Canada, l’Australie et le Brésil ontintégré le référentiel IFRS dans leurlégislation. Les Etats-Unis ne pourrontpas rester indéfiniment isolés sur lesujet.

« Je n’ai jamais réussià réaliser la fusion des deuxinstitutions représentativesdes professions d’expert-

comptable et de commissaireaux comptes »

1 Comité français d’accréditation.


DOSSIER


Les secrets d’une relation bénéfiqueJean-Claude Grynberg, Jean Sandler, Siân Williams

30

Un vaste champ de collaborationSylvain Rousseau

33

Des intérêts convergents au service de missionsdistinctesJean-Pierre Hottin

24

De quoi parle-t-on ?Laurent Arnaudo

27

24

DOSSIER


Auditeurs externes et auditeursinternes ont chacun leur place etun rôle bien défini au service de

l’entreprise, l’un est une fonction à partentière de l’entreprise, l’autre, un acteurindépendant de l’entreprise.

L’auditeur externe,un acteur indépendant

En France, il existe une obligation légalequi prévoit, pour certaines entités, l’in-tervention d’un commissaire auxcomptes avec pour mission de certifierles comptes annuels. Pour former sonopinion sur les comptes, le commissaireaux comptes procède à un audit enappliquant les normes d'exercice profes-sionnel (NEP) homologuées par leGarde des Sceaux, normes qui sontcompatibles avec les normes internatio-nales (ISA).Comme le précisent les NEP, le commis-saire aux comptes acquiert une connais-sance suffisante de l'entité, notammentde son contrôle interne, afin d'identifieret d'évaluer le risque d'anomalies signi-ficatives dans les comptes et ainsi deconcevoir et de mettre en œuvre desprocédures d'audit permettant de fon-

der son opinion sur les comptes.Contrairement à ce qui existe par exem-ple dans le cadre de SOX aux Etats-Unissur le domaine comptable et financier,sa mission ne consiste cependant pas àexprimer une opinion sur les procéduresde contrôle interne. Les entités peuvent également deman-der d'autres interventions comme, parexemple, faire un examen des comptesprévisionnels, faire un audit d'acquisi-tion d’une société cible avant une éven-tuelle opération d’achat.

L’audit interne,la 3ème ligne de maîtrise

L'audit interne, fonction mise en placeà l’initiative de l’entreprise, est amené àréaliser des revues des dispositifs degestion des risques et de contrôleinterne, à un rythme propre à chaqueentreprise – sans avoir l’obligation deporter une opinion formelle globaleannuelle (précisons toutefois que cer-tains pays ont engagé des réflexions surce dernier point notamment dans le sec-teur financier). Les normes établies parl’IIA, et relayées en France par l’IFACI,aident à normaliser et à structurer la

Quand il s'agit d'audit interne et d’audit externe, le mot osmose ne vient pas spon-tanément à l'esprit, ou plus exactement ne venait pas à l'esprit. La collaborations'est en effet fortement accrue ces dernières années, avec un partage d'informationsde plus en plus fréquent et structuré, contribuant à l'efficacité des missions de cha-cun. Les normes ISA côté audit externe et IIA côté audit interne facilitent cette colla-boration, prévoyant le cadre dans lequel chacun peut utiliser pour sa propre missionles travaux de l'autre – même si dans ce domaine les freins restent importants.

Jean-Pierre Hottin, CIA, Associé, PwC Risk Assurance & Advisory Services

Des intérêts convergentsau service de missionsdistinctes

Diplômé d’un DESS de finance etinformatique et d’une maîtrise ensciences économiques,Jean-Pierre Hottin a rejoint PwCen 2001 et a aujourd’hui près devingt ans d’expérience en risques,contrôle interne et audit interne.Il dirige, en France, les activités« services à l’audit interne » dePwC.

25

Auditeur interne / auditeur externe

juin/juil. 2014 - Audit & Contrôle internes n°220

profession, qui est vraiment reconnuepar les entreprises comme une véritabletroisième ligne de maîtrise face à unenvironnement de risques de plus enplus complexe. En pratique, les missionsréalisées peuvent être de natures trèsdifférentes selon les organisations, allantde périmètres stratégiques ou opéra-tionnels à des missions davantage foca-lisées sur la conformité ou le contrôleinterne comptable et financier. Ainsi, des rôles différents pour l’auditeurinterne et l’auditeur externe, mais in fineune convergence d'intérêt évidente – ilsont naturellement des périmètres d'in-tervention qui se recoupent lorsqu’ils'agit de revoir les dispositifs de contrôleinterne et de gestion des risques en lienavec l’information comptable et finan-cière. Pour autant, peuvent-ils et doi-vent-ils travailler de manière complé-mentaire en échangeant et en s'ap-puyant sur leurs travaux respectifs ?

La complémentarité etla collaboration sont prévueset encadrées par les normesprofessionnelles

Que prévoient ces normes ?

Les normes ISA prévoient la possibi-lité pour l’auditeur externe d’utiliser lestravaux de l’audit interne, après avoir aupréalable évalué la fonction d’auditinterne, en :• s’assurant que l’organisation de cettefonction et ses procédures permettentde garantir son objectivité ;

• évaluant la compétence de ce service ;• déterminant si l’audit interne adopteune approche systématique et métho-dique ainsi que des procédures decontrôle de la qualité.

L’auditeur externe doit ensuite détermi-ner la nature et l’étendue des travauxpouvant être utilisés – de manière limi-tée dans certains cas selon ISA 610, parexemple dans les situations impliquantune part importante de jugement, danscelles présentant un niveau de risqueimportant, ou lorsque l’objectivité et lacompétence de l’audit interne ne sontpas pleinement démontrées. Si l’utilisation des travaux est envisagea-ble, au-delà de la lecture des rapports del’audit interne permettant de compren-dre la nature et l’étendue des procéduresmises en œuvre, il convient de mener

des procédures complémentaires, quinécessitent d’accéder aux dossiers detravail et de « refaire » une partie destravaux sur base de sondages pour s’as-surer que les mêmes conclusionsseraient atteintes.

La norme ISA 610 donne des exemplesde travaux pouvant être utilisés, notam-ment : • tests sur l’efficacité opérationnelle descontrôles ;

• procédures substantives ne nécessi-tant qu’une part limitée de jugement ;

• assistance aux inventaires physiques ;• suivi de transactions au sein du sys-tème d’information relatif au reportingfinancier ;

• tests de conformité par rapport auxcontraintes réglementaires.

Les normes de la profession d’auditinterne – et en particulier la norme 2050et la MPA 2050-1 – encouragent spéci-fiquement l’audit interne à se coordon-ner avec l’auditeur externe, au mêmetitre qu’avec les « autres prestatairesinternes et externes d’assurance ». Ellesprévoient la possibilité de s’appuyer surles travaux de l’auditeur externe pour« avoir une assurance sur des activitéscomprises dans le périmètre de l’auditinterne », sous réserve que certainesconditions soient remplies, notamment

l’accès aux programmes et aux docu-ments de travail.En pratique, l’audit interne pourrait ainsilimiter ses interventions sur des élé-ments de l’univers d’audit, et pourraitaméliorer la couverture d’assurance pré-sentée aux organes de gouvernance. De manière générale, les deux acteurstiendront compte de leurs conclusionsrespectives pour adapter l’étendue deleur mission, notamment lorsque desfaiblesses auront déjà été constatées,soit par exemple, côté auditeur externe,pour mener des travaux substantifs plusapprofondis, soit, côté auditeur interne,pour s’assurer d’un suivi approprié despoints relevés par les auditeurs externes. Les conditions semblent donc réuniespour une coopération effective de cesdeux acteurs au service d’une meilleuregouvernance. Qu’en est-il dans la réa-lité ?

Quelles bonnes pratiquesobserve-t-on ?

Nous avons constaté ces dernièresannées une évolution vers plus de col-laboration entre ces deux acteurs dansles grandes entreprises cotées.Quelles sont les grandes lignes de cetteévolution ? Principalement une com-munication accrue, sur les périmètres etles conclusions.

2ème ligne de maîtrise

Conseil d’administration / Comité d’audit

Régulateurs

Audit externe

Direction générale

1ère ligne de maîtrise 3ème ligne de maîtrise

Managementopérationnel

Auditinterne

S.I.

R.H.

Juridique

Finance

HSE

Contrôlede gestion

...

assuranceconform

ité

managem

ent des risquescontrôle interne

Les 3 lignes de maîtrise

26

DOSSIER


Parmi les bonnes pratiques que l’onobserve :• la discussion, au niveau du comitéd’audit mais également au niveau dela direction générale et de la directionfinancière, du degré de collaborationentre auditeurs externes et auditeursinternes – obligatoire selon lesnormes ISA si l’auditeur externe sou-haite s’appuyer sur les travaux de l’au-dit interne ;

• le partage des plans d’audit respectifs.Il s’agit souvent, en pratique, de mieuxorganiser les interventions de chacundans l’année, pour l’entité auditée. Aminima, il s’agit de prendre en consi-dération l’appréciation que chacunfait des risques ;

• une meilleure coordination entreéquipe d’audit interne (le plus sou-vent centralisée), et auditeurs externeslocaux, en particulier pour les groupesinternationaux. Cette coordinationprend toute sa valeur en phase depréparation de la mission pour lesauditeurs internes – elle permetnotamment d’appréhender lecontexte et les risques spécifiquesavant la réalisation des travaux. Pourles auditeurs externes (maison mèreet filiale), il s’agit le plus souvent decollecter les conclusions des dernierstravaux réalisés par l’audit interne enlien avec leur mission pour adapterleur approche audit ;

• un partage accru des travaux.L’auditeur externe a, par nature, accèsà l’ensemble des informations néces-saires à l’exercice de sa mission.L’accès aux rapports et travaux d’auditinterne concernant des interventionsen rapport avec sa mission est doncune pratique répandue. Elle va de lamise à disposition, en lecture, dessynthèses des rapports, à l’envoi decopies de l’ensemble des rapportsdétaillés. Cet accès est facilité dans lesentreprises ayant un audit internecentralisé. Côté auditeurs externes, lesprocessus structurés de remontée desconclusions des auditeurs des filialespermettent, lorsque l’entreprise lesouhaite, de partager ces dernièresavec l’audit interne ;

• une communication mieux coordon-née avec les organes de gouvernance.Au-delà des communications obliga-toires, les directeurs de l’audit internesont régulièrement conviés aux ses-sions du comité d’audit consacrées

aux travaux de l’auditeur externe – etinversement. Il n’est pas rare non plusqu’auditeurs externes et auditeursinternes aient des échanges avant lescomités d’audit pour anticiper lesquestions liées à leur collaboration.

Que pourrait-on améliorer ?

La collaboration s’est indiscutablementaméliorée, mais pourrait encore pro-gresser.

La notion de quatrième ligne de maî-trise est de plus en plus utilisée pourqualifier l’assurance apportée par destiers. Peut-on intégrer l’audit externedans cette quatrième ligne de maîtrise ?En effet, il ne s’agit pas pour autant d’as-similer l’audit externe à l’un des dispo-sitifs que doit mettre en œuvre uneentreprise pour maîtriser ses risques.Mais il faut que l’entreprise et son auditinterne – en tant que troisième ligne demaîtrise – les prennent en compte pourforger leur niveau d’assurance et enexploiter les conclusions.

La recherche d’efficience est égalementun argument clef pour inciter chacundes acteurs à s’appuyer sur leurs travauxrespectifs – et pas seulement à partagerleurs conclusions. Mais on constate dansce domaine des freins bien réels.

Côté auditeur externe, en pratique, l’uti-lisation des travaux des auditeursinternes reste encore très limitée, en rai-son des contraintes posées par lesnormes ISA. Plusieurs fonctions auditinterne obtiennent une certification deconformité à leurs normes profession-nelles (IIA). Ceci permet de répondre enpartie aux conditions préalables requisespar ISA 610 (existence au sein de lafonction d’audit interne de procéduresde contrôle de la qualité) mais cela nesuffit pas pour l’auditeur externe, quidoit s’appuyer sur une documentationadaptée à ses besoins et « refaire » unepartie des travaux. En effet, c’est souventl’aspect documentation qui vient limiterl’utilisation de ces travaux par l’auditeurexterne, en raison des exigences de sespropres normes professionnelle. Ainsi l’auditeur externe juge souventplus efficace de réaliser lui-même l’en-semble des procédures d’audit néces-saires à l’émission de son opinion. Enfin,dans les groupes internationaux, les bar-

rières linguistiques peuvent limiter – au-delà de la forme – l’utilisation par lesauditeurs externes locaux de la docu-mentation des travaux de l’audit internecentral.

Les auditeurs internes, eux, vont rare-ment plus loin que la prise de connais-sance des conclusions des auditeursexternes. L’un des freins est le respectdes règles de secret professionnel intro-duites par la loi (par exemple en France,le commissaire aux comptes est soumisau secret professionnel).

Malgré ces limites bien réelles, la colla-boration s’est accrue et on ne peutqu’encourager la mise en œuvre desbonnes pratiques mentionnées ci-avant.

* **

Bien qu’ils aient des rôles différents, lesauditeurs externes et internes exercentdes missions présentant de grandessimilitudes, même s’il faut garder à l’es-prit que le positionnement de l’auditeurexterne reste celui d’un acteur externepar rapport au dispositif mis en œuvrepar l’entreprise.

La collaboration entre l’audit interne etl’auditeur externe n’est pas seulementune bonne pratique, elle est une néces-sité afin de renforcer l’efficience d’en-semble des ressources, ainsi que la clartéet la cohérence des messages véhiculésauprès des organes de gouvernance, surles aspects de contrôle interne.

Si l’on devait retenir trois idées ourecommandations essentielles, à la foispour les auditeurs internes et les audi-teurs externes :• discutez avec la direction générale etle comité d’audit du niveau de colla-boration attendu ;

• abordez ouvertement les freins parrapport aux attentes exprimées etidentifiez les possibilités d’améliora-tion, que ce soit en matière de coordi-nation, de communication ou de par-tage d’information ;

• définissez ensemble, dans le cadre devos missions respectives, commentmettre en œuvre ces possibilitésd’améliorations.

27



les comptes » sans oublier le fameux« nous nous ignorons et cela marchetrès bien depuis des années ».

Alors oui, contrairement à ce que je pen-sais, les relations entre les auditeursinternes et externes sont toujours unsujet d’actualité qui mérite bienquelques lignes pour partager nos expé-riences.

Mais de quoi parle-t-onvraiment ?

L’audit interne et l’audit externe ne tra-vaillent pas toujours sur les mêmesdomaines. Mais nous avons un grandintérêt commun à coordonner nos tra-vaux et ce, pour le bien de nos entre-prises. Pour faire un peu de théorie avantde passer à la pratique chez Sodexo etau sein d’autres entreprises que j’ai pucôtoyer au cours de ma carrière, ilconvient de se référer au COSO, quidéfinit les fondamentaux du contrôleinterne.

Le contrôle interne

Le contrôle interne est un processus mis enœuvre par le conseil, le management et lescollaborateurs d’une entité, destiné à four-nir une assurance raisonnable quant à laréalisation d’objectifs liés aux opérations,au reporting et à la conformité.Le référentiel établit trois catégories d’ob-jectifs permettant de prendre en compte dif-férents aspects du contrôle interne :a) Objectifs liés aux opérations : ils concer-

La coopération entreauditeurs internes et externes,est-ce vraiment encore unsujet ?

Lorsque l’IFACI m’a proposé de travail-ler sur les relations entre les auditeursinternes et les auditeurs externes, je doisavouer que ma première réaction a étéde penser que ce sujet était banal et sur-tout avait déjà été traité à plus de 100reprises. J’ai commencé à regarderautour de moi, et à interroger des per-sonnes dans la profession et j’ai été sur-pris d’entendre et de voir des pratiquestrès différentes sur les relations auditinterne / audit externe. Cela allait du« nous ne faisons pas le même travail etnous ne travaillons pas sur les mêmessujets » au « nous leur prêtons toutesnos ressources pour les aider à certifier

nent l’efficacité et l’efficience des opéra-tions. Il s’agit notamment des objectifsde performance opérationnelle et finan-cière ainsi que de la sauvegarde desactifs notamment.

b) Objectifs liés au reporting : ils concer-nent le reporting interne et externe,financier et extra financier (depuis lasortie du nouveau COSO en 2013). Ilspeuvent viser les délais, la fiabilité desétats financiers, etc.).

c) Objectifs liés à la conformité : ils concer-nent le respect des lois et règlements (eninterne ou externe de l’entreprise).

Le contrôle interne ne se limite donc pasà un ensemble de procédures ni auxseuls processus comptables et finan-ciers.

L’audit interne

L’audit interne travaille sur l’ensemblede ces domaines. Il évalue le bon fonc-tionnement du dispositif de contrôleinterne et fait des recommandationspour l’améliorer. Il le fait grâce au péri-mètre de ses missions qui doivent cou-vrir les trois objectifs du contrôleinterne.

L’audit externe

Les auditeurs externes eux, ne sont paspartie prenante dans le dispositif decontrôle interne et de gestion desrisques le l'entreprise. Mais ils prennentconnaissance de ce système pour enobtenir une meilleure compréhension et

La coopération entre auditeurs internes et auditeurs externes est un vrai sujet, tou-jours actuel, car cette coopération est aujourd’hui admise et reconnue pour le biende tous, l’entreprise au premier chef. Chez Sodexo, l’audit interne et l’audit externetravaillent en étroite relation, même si les champs de couverture ne sont pas tou-jours les mêmes. Nos relations se font dans une grande transparence mutuelle.

Laurent Arnaudo

Directeur de l’audit interne,Groupe Sodexo

De quoi parle-t-on ?

28

DOSSIER


se faire une opinion sur son fonctionne-ment. Leur champ d’intervention estnaturellement plus orienté sur le troi-sième et surtout le deuxième objectif ducontrôle interne, c’est-à-dire les objec-tifs liés au reporting et plus particulière-ment celui sur la fiabilité des informa-tions comptables et financières.

Pour illustrer ce point, nous pouvonsprendre un exemple sur la gestion desstocks. Quand l’audit interne chezSodexo examine le processus de gestiondes stocks, il va porter un jugement surplusieurs aspects :

• Est-ce que les stocks tels que remon-tés dans nos outils de reporting et doncdans nos états financiers existent biensur les sites ?

• Est-ce que ces stocks reportés sontcorrectement évalués en respectant laméthode en vigueur chez Sodexo eten prenant en compte les déprécia-tions nécessaires sur les références àfaible rotation, par exemple ?

Toutes ces questions sont aussi impor-tantes pour les auditeurs externes quidoivent émettre une opinion sur la fia-bilité des informations comptables etfinancières. Elles concernent les objectifsde « conformité » et de « Reporting » duCOSO (c/ et b/ ci-dessus).

Mais l’audit interne va aller plus loin parrapport à l’auditeur externe et poser desquestions sur l’objectif a/ du COSO« Efficacité des opérations » .

• Est-ce que le niveau des stocks sur lessites est optimisé, c’est-à-dire suffi-sant pour garantir la satisfaction desclients tout en optimisant les coûts depossession ?

Cette question est assez difficile car ellerequiert une connaissance opération-nelle de nos activités. Elle n’intéressegénéralement pas les auditeurs externescar ce n’est pas une information quenous publions à l’extérieur, dans notredocument de référence par exemple. Ilfaut bien prendre en compte la spécifi-cité du rôle de l’audit interne, lié à l’en-semble des risques de l’entreprise parrapport à celui de l’auditeur externe liéà la fiabilité et la sincérité des comptes. Mais attention, tout cela évolue très vite

car nos entreprises publient de plus enplus d’indicateurs extra financiers sur lesrisques, sur la responsabilité sociale etenvironnementale, sur la sécurité, etc.Ces informations, essentielles à unebonne gouvernance, tombent sous lepérimètre de revue des auditeursexternes, dès lors qu’elles sont publiées.

Comment cela fonctionne-t-ilchez Sodexo ?

Chez Sodexo, l’audit interne et l’auditexterne travaillent en étroite relation.Même si nous reconnaissons que noschamps de couverture ne sont pas tou-jours les mêmes, il y a un véritable sensà partager. Nos relations se font dansune grande transparence mutuelle :l’audit interne fournit et prend desinformations à l’audit externe et viceversa. Les informations à partager sontconnues à l’avance, délimitées dans lepérimètre (informations comptables etfinancières) et approuvées. Chacun denous comprend bien comment l’autreutilise l’information communiquée. Etce point est fondamental pour initierune bonne relation. Tant que les deuxparties ne comprennent pas qu’il existeun domaine commun d’intervention etne se font pas confiance sur l’utilisationde l’information partagée, alors la coo-pération ne fonctionne pas. Et donc, lacommunication et la confiance respec-tive sont clés dans ce processus de par-tage…Il nous apparaît fondamental que lesauditeurs externes disposent d’unevision précise des travaux réalisés parl’audit interne qui concernent la revuedu contrôle interne comptable et finan-cier. Ils certifient les comptes et, dans cecadre, peuvent aussi identifier desrisques significatifs et des faiblessesmajeures de contrôle interne suscepti-bles d’avoir une incidence significativesur l’information comptable et finan-cière. Le comité d’audit de Sodexo estd’ailleurs le premier bénéficiaire d’unebonne communication entre ces deuxinstances de contrôle car il en tire unevision beaucoup plus complète et plusintégrée de la gestion des risques dugroupe. De leur côté, les opérationnelsbénéficient également d’une meilleurecoordination entre l’audit externe etl’audit interne, les missions redondantesou complémentaires sont évitées oumieux programmées.

Les sujets échangés sont variés. Ils peu-vent être regroupés de la façon sui-vante :• Interviews avec les auditeurs externesdans le cadre de la préparation duplan d’audit interne annuel pour par-tager et échanger sur la cartographiedes risques, identifier les risques nou-veaux.

• Partage du plan d’audit interneannuel après approbation par lecomité d’audit ainsi que des datesprévisionnelles d’intervention.

• Communication de la liste des rap-ports d’audit interne émis en cours dudernier trimestre : les auditeursexternes peuvent sélectionner les rap-ports d’audit qui les intéressent sur lecontrôle interne et faire une demandeauprès du directeur de l’audit internepour en obtenir une copie sous formeélectronique.

• Pour certains audits, analyse des prin-cipales faiblesses d’audit interne rele-vées.

• Participation de l’audit interne auxréunions de clôture des auditeursexternes.

• Discussion sur le processus d’identi-fication des fraudes et des cas rencon-trés au cours de l’année.

• Réception par l’audit interne desrecommandations des auditeursexternes sur l’amélioration ducontrôle interne.

• Utilisation par l’audit interne duréseau des auditeurs externes mon-dialement reconnu pour obtenir desétudes, des analyses, des benchmarkssur la gouvernance, la gestion desrisques et le contrôle interne ou surdes thèmes d’audit assez novateurs,comme par exemple, la gestion decrise, l’audit du développement dura-ble, etc.

• En étroite liaison avec la directionfinancière du groupe, l’audit internede Sodexo :- discute et revoit les instructionsd’audit des auditeurs externes,notamment la partie sur les pointsà risque de l’année ;

- participe à la négociation et aucontrôle des honoraires des audi-teurs externes, pays par pays et auglobal ;

- réceptionne les demandes desauditeurs externes pour les services« non-audit », vérifie les plafonds etseuils et s’assure qu’il s’agit de ser-

29



vices autorisés, selon la loi avantd’obtenir l’autorisation du comitéd’audit ;

- pilote le processus d’appel d’offredes auditeurs externes, lorsquenécessaire.

• Identification enfin des sujets com-muns et mise en place d’un pro-gramme de coopération : il en estainsi lorsque des risques ou thèmesd’audit apparaissent en commun dansles plans d’audit respectifs ou lors desdiscussions sur les risques, l’auditinterne et l’audit externe rentrentdans une phase de coopération beau-coup plus approfondie. L’objectif estalors d’identifier comment nous pou-vons travailler ensemble de façonintelligente (pour nous et pour lesopérationnels de Sodexo). Différentesformes peuvent apparaitre. La pluscourante chez Sodexo est l’interven-tion jointe, en prenant soin au préala-ble de bien nous partager les tâches.Il s’agit rarement de plus de 2 ou 3missions d’audit par an. Ces missions

sont souvent des revues de type « Postimplementation SAP », où l’objectif, parexemple, est de s’assurer que lamigration du back office Finance versSAP s’est bien opérée. Il faut alorsregarder le processus de migration, lesinterfaces et tester des contrôlesapplicatifs liés au processus compta-ble. Le travail de préparation avec lesauditeurs externes devient alors cri-tique pour garantir le succès de lamission et la satisfaction de toutes lesparties, y compris celle des audités quine doivent pas être dérangés deux foispar deux interlocuteurs différents surle même sujet. Nous nous mettonsdonc très en amont d’accord sur unprogramme de travail, puis répartis-sons les rôles, domaine par domaineet contrôle par contrôle. Nous nousmettons aussi d’accord sur la taille deséchantillons à tester, puis chacuneffectue ses tests et documente sestravaux. Nos documents de travailsont à la disposition des auditeursexternes pour leur revue. Le but est de

pouvoir s’appuyer sur le travail del’autre afin d’émettre une opinioncommune globale. Bien souvent, lesauditeurs externes s’occupent desprocessus les plus risqués, comme larevue de la comptabilité générale etdes clients. L’audit interne travaille surles immobilisations et la comptabilitéfournisseurs. Mais cela permet ausside contenir les honoraires des audi-teurs externes …

L’échange de ces informations prend, laplupart du temps, la forme de réunions.Tous les mois l’audit interne et l’auditexterne ont une réunion d’une heure,programmée à l’avance. En fonction dela quantité des sujets à aborder, cetteréunion peut être annulée la veille. Maisles périodes de préparation des plansd’audit, de présentation des cartogra-phies des risques et de discussion deshonoraires génèrent des réunions beau-coup plus denses.

Le contrôle interne et lescommissairesaux comptes

Les commissaires aux comptes se doi-vent d’effectuer un examen des princi-pales procédures de contrôle interneafin d'obtenir l'assurance raisonnablequ'aucune anomalie significative nefigure dans les comptes.Avec la mise en œuvre, il y a une dizained’années, du Sarbanes-Oxley Act., lestravaux des commissaires aux comptessur le contrôle interne financier se sontsensiblement renforcés. La teneur desinformations à documenter et à conser-ver en faisait un exercice nouveau aussibien pour les entreprises concernées quepour eux.Le travail doit être mené par l’entreprise,qui produit son propre rapport decontrôle interne dans le rapport annuelà destination des autorités et investis-seurs américains (20-F). Ce rapportaffirme la responsabilité du manage-ment dans l’établissement et le maintiend’une structure adéquate de contrôleinterne pour la préparation du reportingfinancier et contient également une éva-luation de l’efficacité de ce dernier endate de clôture. Les commissaires auxcomptes conduisent, de leur côté, leurpropre évaluation de façon indépen-dante en s’appuyant en partie et sous

Une problématique plus largeque l’audit interne et externe

Chez Orange, comme dans de plus enplus de sociétés, nous avons procédé aurapprochement au sein d’une mêmedirection de plusieurs équipes d’assu-rance, qui adressent la problématique durisque sous plusieurs facettes. La direction de l’audit, contrôle etmanagement des risques groupe ras-semble donc :• l’audit interne ;• deux risk-managers groupe, quiconstruisent la vision groupe sur lesrisques et prodiguent méthodes etsoutien aux entités ;

• une équipe centrale de contrôleinterne, qui promeut les bonnes pra-

tiques, garantit la certificationSarbanes-Oxley et anime le réseaudes contrôleurs internes des entités ;

• les enquêtes ;• la prévention et détection de la fraudeet le revenu assurance ;

• le crédit management ;• une petite équipe qui apporte du sou-tien ponctuel d’expertise financièreaux filiales.

Ce fonctionnement intégré facilite eninterne les échanges et la coordinationentre plusieurs fonctions clés des 2e et 3e

lignes de maîtrise. Il est aussi détermi-nant dans la manière dont nous tra-vaillons avec nos commissaires auxcomptes.

30

DOSSIER


Jean-ClaudeGrynberg

Directeurcontrôle interne,Groupe Orange

Jean Sandler

Directeuradjoint audit,Groupe Orange

Siân Williams

Directrice audit,contrôle &management desrisques,Groupe Orange

Les secrets d’une relationbénéfique

Le rapprochement, au sein d'une même direction, de plusieurs équipes d'asssu-rances, suppose une réorganisation très étudiée.Le fonctionnement intégré facilite les échanges et la coordination entre plusieursfonctions clés ; il est déterminant dans la manière dont nous travaillons avec nosCAC.Depuis une dizaine d'années, les travaux des CAC, sur le contrôle interne financier,se sont sensiblement renforcés.Orange échange régulièrement avec les auditeurs externes sur les aspects essentielsde la stratégie anti-fraude du groupe.Les échanges se font dans la transparence et dans un climat de confiance.

31



certaines conditions sur les travauxmenés par l’entreprise.

En 2006, première année de la certifica-tion Sarbanes-Oxley pour les sociétésnon américaines cotées aux USA, dontOrange, l’ampleur des travaux deman-dés par les auditeurs externes, sur labase du standard d’audit AS n°2 duPCAOB (équivalent américain du H3C)était très importante, ce qui conduisait àun dispositif de contrôle interne parti-culièrement détaillé. L’évaluation,menée par l’entreprise, se devait d’êtreparticulièrement probante et requéraitun substantiel investissement en testingde la part de l’audit interne (près de100 % du périmètre).

En 2007, le PCAOB a remplacé ce stan-dard par l’auditing standard n°5, insistantmoins sur les aspects procéduraux etmettant l’accent sur une approche parles risques et un lien plus perceptibleentre l’audit financier et l’audit ducontrôle interne (y compris l’impactpotentiel sur les états financiers). Le dispositif mis en œuvre a été réviséet redimensionné pour toutes les partiesprenantes (opérationnels, contrôleursinterne, audit interne, commissaires auxcomptes), tout en observant une amé-lioration notable de sa qualité. Les com-missaires aux comptes se sont de plusen plus appuyés sur les équipes internespour produire leur propre dossier d’ana-lyse, et la confrontation des démarchesrespectives a contribué à renforcer latechnicité de chacun et à améliorer defaçon continue l’approche d’audit ducontrôle interne.L’implication des équipes de l’auditinterne s’est graduellement réduite auprofit de celle des opérationnels et descontrôleurs internes, au fur et à mesureque le dispositif de contrôle interne serévélait plus efficace.

Traduisant les améliorations de qualitéréalisées et l’évolution de l’approche, lescoûts internes et les honoraires descommissaires aux comptes liés à la cer-tification SOX ont baissé ces dernièresannées.Depuis 2012, Orange a ouvert son dis-positif au contrôle interne opérationnel,au-delà du seul volet financier. Ceci s’est

matérialisé par la rédaction d’un guidede bonnes pratiques de contrôle interne,sous forme de questionnaires théma-tiques. Les éléments relatifs à l’environ-nement de contrôle interne sur le repor-ting financier requis pour Sarbanes-Oxley ont été intégrés dans cesquestionnaires.

Une évaluation par niveau, en fonctiondes réponses, permet à l’entité commeaux fonctions centrales d’orienter, sibesoin, la démarche pour améliorer lamaîtrise de leurs opérations. Elle permetde déployer rapidement une auto-éva-luation sur un thème jugé prioritaire parle management, comme ce fut le cas en2013 sur la prévention de la corruption,le management des risques, les revenusprépayés…

Collaboration avecles auditeurs externes surla stratégie fraude du groupe

Dans le cadre de la mise en œuvre duprogramme d'environnement decontrôle pour la prévention de la fraude,Orange échange régulièrement avec lesauditeurs externes sur les aspects essen-tiels de la stratégie anti-fraude dugroupe, pour s’assurer que le dispositifrépond au mieux aux exigences règle-mentaires (SOX, prévention du blanchi-ment…) et aux risques émergents vusailleurs, dans une logique d’améliora-tion continue. Les deux parties s’enri-chissent mutuellement de ces

échanges : les commissaires auxcomptes en permettant de documenterleur évaluation du risque de fraude etl’adaptation de leur stratégie d’audit, etl’audit interne qui bénéficie d’alertes surdes situations à risque.Ceci permet d’analyser et de partager lesmeilleures pratiques du domaine et deles intégrer dans l'approche d’Orange,afin d’enrichir régulièrement le contenudu programme. Ainsi, le COSO 2013 etle renforcement de la prise en comptedes risques de fraude dans le dispositifde contrôle interne, conduit à la réalisa-tion conjointe d’une analyse des impactsde la mise en place de ce nouveau cadrede référence, mettant en évidence labonne adéquation de notre programmeen termes de prévention de la fraude.

Transparence et confiancecomme facteurs clés de succès

La deuxième ligne de maîtrise a doncdes échanges réguliers avec les commis-saires aux comptes pour répondre àl’ensemble de ces missions. Le fonction-nement au sein d’une même directionpermet à l’ensemble des acteurs de par-tager un même niveau d’information.Les réunions animées par le contrôleinterne sont l’occasion pour les mana-gers de l’audit de s’approprier les préoc-cupations des auditeurs externes et deles prendre pour l’établissement et l’exé-cution du plan d’audit. Cette coopéra-tion permet d’alimenter notre vision desrisques, ces échanges apportant un

© O

rang

e

32

DOSSIER


angle de vue différent, fiable et indépen-dant, pour une prise de décision pluséclairée.Plus généralement, cette notion de par-tage et d’échange est au cœur de notrevision de la relation avec les commis-saires aux comptes. Nous avons toujoursconsidéré les auditeurs externes commedes partenaires. Et nous tirons un béné-fice mutuel de nos travaux respectifs.Les auditeurs externes ont accès à notreprogramme d’audit et aux résultats denos travaux, que nous sommes amenésà leur communiquer régulièrement.Réciproquement, la relation deconfiance qui s’est instaurée au fil desannées rend aujourd’hui naturel pourun directeur de mission de prendrecontact avec les commissaires auxcomptes quand il commence un auditafin de préparer au mieux sa phase ter-rain, en incluant constats et recomman-dations des auditeurs externes dans lechamp de ses investigations.La certification IFACI contribue égale-ment à la confiance qui prévaut dansnos relations. Les commissaires auxcomptes savent que la qualité de nostravaux est garantie par une revue exi-geante et complète de nos processus parIFACI Certification. Les travaux qu’ilsexécutent chez nous pour évaluer notrefonctionnement s’en trouvent considé-rablement allégés.Cette confiance nous a amené à contri-buer directement à des travaux avec lesauditeurs externes dans le cadre de lacertification du reporting alimentant lerapport de responsabilité sociale d’en-treprise d’Orange. Dans un premier

temps, nos équipes sont intervenues enbinôme avec les auditeurs externes. Et,maintenant, nous réalisons une partiede ces travaux de manière autonome, ennous répartissant avec eux l’échantillonde pays audités. Double bénéfice pourOrange : la fertilisation de nos méthodespar l’intégration de nos auditeurs dansdes équipes externes pour quelquessemaines par an, et la réduction deshonoraires.

Et les audités dans tout ça ?

La norme 2050 vise à l’efficience et à« éviter le double emploi ». Les auditéssont là pour nous le rappeler tout aulong de l’année. Auditeur interne, tuserais riche à millions si tu avais reçu uneuro à chaque fois que tu avais entendu« vous ne pouvez pas venir maintenant,les CACs viennent de passer / sont là /seront là bientôt », ou « nous avons déjàexpliqué cela en détail aux CACs et ilsétaient satisfaits de nos réponses ».Comment éviter cela ? Par la qualité dela communication avec les auditeursexternes bien sûr ! Une bonne connais-sance des calendriers et des scopes res-pectifs d’intervention évitera cetteimpression désagréable d’improvisationet de redondance. Car c’est bien souventuniquement de cela dont il s’agit : d’uneimpression. Oui, les commissaires auxcomptes sont venus plus tôt, mais paspour réaliser des travaux comparables.Et d’ailleurs, nous avons connaissancede leurs conclusions et des quelquespoints à valider suite à leurs travaux.Oui, les commissaires aux comptes ont

certifié les comptes de l’entité. Maisleurs diligences se limitaient à tel et telcycle comptable. Et ce sont eux qui nousont suggéré de traiter tel ou tel pointcomplémentaire…

Finalement, le principal bénéficiaired’échanges réguliers entre commissairesaux comptes et auditeurs internes, c’estbien le business, les opérations, la pre-mière ligne de maîtrise ! En effet, leséchanges garantissent une bonne com-plémentarité des approches, et donc unmeilleur support et une meilleure cou-verture des risques.

Tirer le meilleur parti denos auditeurs externes pourgarantir l’assurance intégrée

La conclusion que nous tirons de ces 10dernières années, qui ont vu la mise enplace de Sarbanes-Oxley et de notremodèle de fonctionnement intégré, c’estque les directions de l’audit interne etcelles en charge du contrôle interne onttout à gagner à considérer les commis-saires aux comptes comme un parte-naire à part entière. Cette approchegarantit un minimum de perturbationspour les audités. Surtout, elle permet decontribuer à l’amélioration et à la perti-nence de nos travaux par l’apport deconstats et de méthodes dont il seraitdommage de se priver dans un contexteoù les ressources se font de plus en plusprécieuses. Cette coopération étroite parachève unvrai système d’assurance intégrée, oùl’audit interne s’approprie les travaux dela 2e ligne de maîtrise, et où l’auditexterne intervient à tous les niveaux dela chaîne pour garantir in fine la robus-tesse et la pertinence de l’ensemble.

© O

rang

e

Norme 2050 – Coordination

« Afin d’assurer une couvertureadéquate et d’éviter les doublesemplois, le responsable de l'auditinterne devrait partager des infor-mations et coordonner les activitésavec les autres prestatairesinternes et externes d'assurance etde conseil. »

33



DCNS, à 400 ans, apporte lapreuve que « le temps ne faitrien à l’affaire », quand on sait

évoluer et adapter son organisation auxgrands enjeux économiques et socié-taux. Le groupe se réinvente en perma-nence et poursuit son évolution pourrépondre aux nouveaux défis qu’il fautrelever sans cesse. La direction de l’auditet des risques (DAR) constitue un levierpour mieux maîtriser les risques et sécu-riser le plan à moyen terme.

Se renouveler sans cesse :la clé de la longévité

Convaincu que la mer est l’avenir de laplanète, DCNS invente des solutions dehaute technologie pour la sécuriser et lavaloriser durablement. En ayant forgétrès tôt sa capacité à mener des transfor-mations profondes,DCNS a acquis unatout de premier ordre.Leader mondial dans ledomaine des sous-marins, des navires desurface et des servicesassociés, le groupepropose également unlarge panel de solu-tions dans l’énergienucléaire civile et lesénergies marinesrenouvelables. DCNSest présent dans unequinzaine de pays et

réalise 40 % de son chiffre d’affaires àl’international.

La direction de l’audit etdes risques : un levier pourmieux maîtriser les risqueset sécuriser le plan à moyenterme (PMT)

A l’image de DCNS, la DAR a su évolueret s’adapter pour accompagner legroupe dans sa mutation. Son rôle estd’autant plus crucial aujourd’hui comptetenu des exigences accrues des marchéssur lesquels DCNS évolue : baisse desbudgets de la défense en France, forteconcurrence sur les marchés du naval dedéfense et de l’énergie à l’international.La DAR a pour mission de donner uneassurance raisonnable à la directiongénérale et au comité d’audit, des

Entreprise historique héritière des arsenaux de Richelieu, DCNS est aujourd’hui unleader du naval de défense et un innovateur dans l’énergie. Le groupe s’est fixé desobjectifs ambitieux de croissance à l’horizon 2020. Dans ce contexte, la direction del’audit et des risques a vu son rôle renforcé pour soutenir DCNS dans l’atteinte deses objectifs de performance. Elle a saisi l’occasion de la publication du COSO 2013pour optimiser son dispositif de contrôle interne et consolider sa collaboration avecles commissaires aux comptes.

Un vaste champde collaboration

Sylvain Rousseau

Directeur de l’audit & des risques,DCNS

Sylvain Rousseau est diplômé deSup’Aero et d’HEC. Il est aussi titu-laire d’un DEA en automatique etinformatique industrielle. Après des expériences riches dedirection de centre de profit, achat,direction de projets au sein degroupes industriels (EADS,Thomson, Ingenico et AlstomPower), il rejoint DCNS en 2010comme directeur des achats, fonc-tion qu’il occupera jusqu’à fin 2013,date de sa nomination à la direc-tion de l’audit et des risques.

34

DOSSIER


comptes et des risques du conseil d’ad-ministration sur la maîtrise que legroupe a de ses activités à court etmoyen termes. Elle joue également unrôle de conseil et se focalise aujourd’huidavantage sur l’amélioration des opéra-tions et la création de valeur.

Ses missions principales

Réalisation d’audits internessur des sujets à enjeuxLa DAR réalise une vingtaine d’auditsinternes par an sur tous les sujets pou-vant représenter un risque pour legroupe (offres et programmes, filiales,processus, nouvelles activités, organisa-tion…). Jusqu’en 2013, les audits étaientprincipalement focalisés sur la confor-mité, ils portent aujourd’hui majoritai-rement sur des sujets cruciaux pour legroupe tels que les programmes (tenuedu budget, délais, qualité…). En com-plément, la DAR coordonne toutes lesautres formes d’audit pratiquées chezDCNS (qualité, inspection nucléaire,sécurité…) rendant plus efficace la troi-sième ligne de maîtrise, ce qui est bienaccueilli par les opérationnels.

Pilotage intégré de la gestion desrisques La DAR anime la démarche de maîtrisepermanente des risques du groupe qui

repose sur l’identification, l’évaluationdes risques (processus, entités et pro-grammes) et le suivi des plans de maî-trise. Afin de favoriser l’atteinte desobjectifs stratégiques et opérationnelsdu groupe, la DAR a récemment ajoutéà sa grille d’évaluation des risques l’im-pact que ces derniers peuvent avoir surle business à moyen terme.

Animation des activités de contrôleinterne La DAR anime la démarche de contrôleinterne du groupe : pilotage des activi-tés, définition des outils, lien avec l’ana-lyse des risques, pilotage du réseau desanimateurs de contrôle interne. Sa mis-sion est de s’assurer de l’atteinte desobjectifs fixés par la direction générale etde la mise en œuvre efficace de ses déci-sions dans le respect des contraintes(lois et normes, coûts, qualité…). Pourrépondre aux nouvelles exigences dugroupe, la DAR fait évoluer le contrôleinterne vers plus de valeur ajoutée et adécidé d’adopter le COSO 2013 commestandard de référence pour la concep-tion, la mise en œuvre et l’évaluation deson dispositif de contrôle interne. Lesobjectifs et les modalités sont en coursde définition pour un déploiement pro-gressif dès septembre 2014.Pour mener à bien ses missions, la DARveille à être en conformité avec les

normes de la profes-sion. Certifié IFACIdepuis 2012 et mem-bre de l’AMRAE,autre association pro-fessionnelle reconnueen matière de gouver-nance, DCNS se situedonc au niveau desmeilleurs standardsinternationaux. Après avoir recentréses missions sur lamaîtrise de l’exécu-tion des activités dugroupe, l’accompa-gnement du change-ment et la sécurisa-tion du PMT, la DARrenforce aujourd’huisa coopération avecles auditeurs externes,toujours dans unsouci d’efficacité.

Les relations avec lescommissaires aux comptes(CAC) : un pilier du progrès

DCNS dispose d’un collège de CACcomposé de Mazars et EY, avec lesquelsla société fonctionne conformément auxnormes de gouvernance. La DAR adécidé d’aller plus loin dans sa relationavec ces derniers pour avoir une meil-leure maîtrise de la gestion des risquesde l’organisation. Cette évolutionrépond à un double objectif :• Efficacité : renforcer le dispositif demaîtrise des risques de DCNS par unecouverture plus large et optimisée desrisques majeurs.

• Productivité : réduire le coût de ce dis-positif par la synergie des ressourcesde DCNS et des CAC.

Cette collaboration renforcée bénéficieégalement aux opérationnels : elle per-met en effet de limiter les travaux redon-dants, d’optimiser les plannings et deproduire des plans d’actions plus perti-nents grâce au partage et à la confron-tation des conclusions d’audit. Cette démarche s’inscrit en parfaitecohérence avec les exigences desnormes de l’IIA et du COSO 2013 quipréconisent notamment d’intégrer dansle processus d’évaluation du système lestravaux réalisés par des tiers (certifica-

© D

CNS

35



tion des comptes, certification ISO,assurance sur le niveau de sécurité, ins-pections…).

Le champ de collaboration

La mission des CAC porte sur l’audit desrisques et du système de contrôleinterne des processus concourant àl’élaboration des comptes du groupe. LaDAR couvre ce même périmètre maisaussi les sujets en lien avec la gouver-nance d’entreprise, les aspects opéra-tionnels et de conformité. Chaque partieconserve son indépendance et sa res-ponsabilité conformément aux textes.« La démarche de collaboration permetd’optimiser le dispositif sans rompre lesengagements pris par chacun », préciseSylvain Rousseau.

Trois grands champs de collaborationont été identifiés :

Activités d’auditLes auditeurs internes et externes par-tagent leurs plans d’audit respectifs(audit intérim, plan d’audit annuel,triennal, etc.) en amont de leur finalisa-tion pour préciser les thèmes et lesangles d’analyse abordés, sur la base descartographies des risques qu’ils ontidentifiés. Les sujets redondants sontévités. Quand les thématiques com-munes sont abordées, les angles d’ap-proche sont choisis entre les auditeursexternes et la DAR afin d’avoir desvisions complémentaires. Ces échangespermettent une couverture efficace dessujets à enjeux.Avant chaque audit interne, la DARdemande au collège Mazars et EY departager ses conclusions d’audit, sespoints d’attention et ses attentes. LaDAR enrichit ainsi son plan de travail etrenforce la pertinence des recommanda-tions qu’elle émet. En retour, les CACpeuvent compléter leur mission d’auditavec un diagnostic plus complet ali-menté par les rapports d’audit commu-niqués par la DAR.

Travaux sur les systèmes d’information(SI) Les SI sont à la fois un support à l’auditet au contrôle interne et une zone derisques qu’il faut maîtriser. Les travauxdes auditeurs externes sur le SI permet-tent de couvrir ces domaines moins sou-vent traités par la DAR, tels que :• la détection de fraudes et d’erreurs surles opérations diverses en comptabi-lité générale à partir d’analyse dedonnées ;

• les tests sur des activités de contrôlemétier ;

• la gestion des droits d’accès aux sys-tèmes produisant les comptes dugroupe ;

• les contrôles des processus informa-tiques (développement, maintenance,exploitation et sécurité).

Dans ce cas, les CAC sont en relationavec la direction administrative et finan-cière et la direction des systèmes d’in-formation pour échanger afin de :• définir les sujets informatiques à trai-ter dans l’audit ;

• connaître les projets informatiquesimpactant la gestion de l’entreprise ;

• définir les données à extraire du sys-tème et les modalités d’extraction.

Contrôle interneDe nombreux axes de collaboration sontmis en œuvre sur le contrôle interne :• Les CAC doivent disposer d’unevision précise des travaux réalisés parla DAR concernant la revue ducontrôle interne, conformément aucadre de référence de l’AMF et de la8ème directive de la Commission euro-péenne.

• La DAR collabore avec les CAC surl’évolution du questionnaire decontrôle interne.

• La DAR prend connaissance des ano-malies ou faiblesses majeures decontrôle interne identifiées par lesCAC.

• Enfin, sur demande de la DAR ou dela direction administrative et finan-

cière (DAF), les CAC peuvent formeret sensibiliser les équipes internes auxnouveautés normatives, bonnes pra-tiques et benchmark relevés auprèsd’autres entreprises concernant lecontrôle interne.

Toutes ces collaborations entre la DARet les CAC ont lieu en complément desrelations naturelles et organisées quiexistent entre la DAF et les CAC.

questionsà Sylvain Rousseau

Cette collaboration avec lesCAC est-elle créatrice de

valeur ajoutée ?

« Ces échanges permettent à laDAR de préparer ses audits demanière plus efficace et d’aiderle management dans la maî-trise des risques et des opéra-tions de ses activités ».

Est-ce facile à mettre enœuvre ?

« Techniquement, oui, maiscela demande d’établir un pro-tocole de relations clair et desrituels. Cela ne représente pasde surcharge de travail ».

Est-ce un dispositif figé ?

« C’est une excellente étapedans l’évolution de nos pra-tiques de contrôle interne.Nous ferons le bilan dans unou deux exercices pour évaluerensemble le dispositif et déci-der des axes complémentairesd’amélioration ».

1.

2.

3.

3

« La relation entre le collège des CAC et la direction de l’audit et des risques de DCNS s’est renforcée.Cette collaboration étroite est gage de pertinence et d’une plus grande efficacité des audits externeset intérims réalisés. Elle permet d’optimiser le dispositif de maîtrise des risques de DCNS. »

Le collège E&Y et Mazars

36

LIBRES PROPOS


Si toutes les histoires commencentpar « il était une fois », la nôtrepourrait débuter ainsi : il était une

fois l’audit interne dans les administra-tions de l’Etat. Pour n’être parfois pasjeune, son histoire récente a connuquelques faits marquants devenantautant de points de repères que nousallons parcourir avant de nous intéresserà la gouvernance de l’audit interne.

Un groupe professionnelengagé dans une démarchede think tank sur l’auditinterne au sein desadministrations de l’Etat

Juin 2008 : constitution du groupeprofessionnel « administrations del’Etat »1. Quelques passionnés d’auditinterne relevant des services de l’Etatsont réunis par l’IFACI avec pour objec-tif de « mettre en exergue, à travers descommentaires des Normes professionnellesde l’audit interne, les particularités desadministrations de l’Etat dans la démarchede l’audit » tout en visant « la profession-nalisation de l’audit interne public en met-tant en avant des bonnes pratiques qui ontdéjà fait leurs preuves. » En d’autrestermes, le groupe veut identifier lesécarts en matière d’audit interne entre

le secteur public, limité aux administra-tions de l’Etat, et le secteur privé déjàdoté de normes professionnelles quiconstituent un cadre de référence pourla réalisation des audits.

Décembre 2008 et octobre 2009 : deuxrapports2 de l’inspection générale desfinances, l’un tourné vers la pratique del’audit interne dans différents pays etinstitutions internationales, l’autre dansles ministères français, aboutissent à uneproposition majeure de structuration del’audit interne dans les services de l’Etat.Ces circonstances stimulent l’activité dugroupe.

Mars 2010 : Cadre de RéférenceInternational des Pratiques Profes-sionnelles de l’audit interne – Trans-position dans les administrations del’Etat et bonnes pratiques. Les mem-bres du groupe professionnel conver-

gent vers une nécessaire transpositiondes normes. Dans les faits, il s’agit poureux d’identifier les différences majeuresentre l’organisation d’entreprise et l’or-ganisation des services de l’Etat, de lesexpliquer et, sur cette base, d’adapteravec pragmatisme le CRIPP pour qu’unlecteur étatique se l’approprie plus faci-lement. Ainsi fait débat la transpositiondes notions propres au secteur privételles que « gouvernement d’entre-prise », « direction générale » et « conseild’administration » ; font aussi débat desnotions telles que « indépendance »,« niveau de rattachement », « valeurajoutée » ou encore « code de déontolo-gie » et « comité d’audit interne » sansoublier le triptyque « audit interne, ins-pection et contrôle »… A quelques amé-nagements près, le groupe professionnelconclut à l’adéquation des normes aucontexte de l’Etat. Une première étapede convergence est donc franchie.

Jean-François Charbonnier - Chef de mission d’audit interne, Secrétariat général pour l’administration (SGA), Missiond’audit interne (SGA / MAI)

Ont collaboré à cet article :Jean-Pierre Dalle - Inspecteur général de l’administration, DGFiPYannick Girault - Chef de la mission stratégique des relations aux publics, DGFiP

L’audit interne dansles administrations de l’Etatdiffère-t-il de celui du secteur privé ?Ou l’histoire d’une prise de position

Après une première expérience dans le secteur civil, alternant des postes àdominante opérationnelle ou fonctionnelle à la direction générale de l’arme-ment (ministère de la défense), directeur des opérations aéronautiques demobilité terre-marine et directeur du programme d’hélicoptères NH90 puis res-ponsable de la cellule d’audit de régularité-gestion à l’inspection de l’arme-ment, Jean-François Charbonnier rejoint mi-2008 le secrétariat général pourl’administration pour y créer une mission d’audit interne.


Juin 2010 : retenant les propositionsdes rapports « Guillaume », le conseilde modernisation des politiquespubliques du 30 juin décide de doterles administrations de l’Etat d’un dis-positif d’audit interne conforme auxnormes. Dans les ministères où il n’exis-tait pas, l’audit interne vient donc enri-chir les méthodes traditionnelles de sur-veillance et d’évaluation de l’actionpublique.

Juin 2011 : si les deux rapports de l’IGFont contribué à une prise de conscienceen matière d’audit interne et de contrôleinterne, le décret n° 2011-775 du 28juin 2011, précisé par la circulaire duPremier ministre n° 5540/SG du 30juin 2011, fixe un cadre réglementaireà la satisfaction des attentes duConseil de modernisation. Ainsi estcréé au niveau interministériel unComité d’Harmonisation de l’AuditInterne (CHAI), chaque départementministériel devant se doter d’un comitéministériel et d’une mission ministé-rielle d’audit interne. Certains, l’ayantanticipé, réalisent cette mutation quasiimmédiatement.

Juillet 2011 : transposition desNormes Professionnelles de l’AuditInterne et bonnes pratiques – Editionspéciales Administrations de l’Etat.Les normes de qualification et de fonc-tionnement étant transposées, le groupeprofessionnel complète ses travaux, touten effectuant une veille active sur lesévolutions tant nationales qu’internatio-nales, en proposant une transpositioncomplète des modalités pratiques d’ap-plication. Ce vaste chantier constitueune seconde étape de convergence entreles acteurs. Un séminaire spécifique del’IFACI est alors organisé en novembre2011 par l’IFACI pour retracer ce vastepanorama et permettre un échange surces évolutions majeures.

27 juin 2013 : à l’issue d’une longuepériode de travail interministériel, leCHAI adopte le code de déontologieet les normes de qualification et defonctionnement du cadre de réfé-

rence de l’audit interne dans l’admi-nistration de l’Etat (CRAIE). Ce réfé-rentiel, qui s’impose aux auditeurs del’Etat, aboutit à des résultats extrême-ment proches de ceux du groupe profes-sionnel, consolidant de fait la conver-gence au niveau interministériel. Les« bonnes pratiques internationales ont étéadaptées en tenant compte des spécificitésde l’Etat, ainsi que de l’application des dis-positions législatives et réglementaires envigueur. Une concertation avec l’IFACI,représentant en France de l’IIA, a permis devérifier que les adaptations ainsi opéréesétaient compatibles avec les standardsinternationaux… »3. Le mouvement, déjàlancé depuis plusieurs mois, s’accélère.Les départements ministériels prennentdes dispositions en matière de contrôleinterne ou formalisent des systèmesexistants et, pour ceux qui ne l’avaientdéjà fait, se dotent de missions ministé-rielles d’audit interne, de comités d’au-dit et pour certains de comités desrisques. Un premier effort de mise à dis-position de documentation communed’audit interne est alors concrétisé avecla publication d’un cahier d’audit dédiéau secteur comptable de l’Etat.

Mai 2014 : prise de position del’IFACI relative à la gouvernance del’audit interne au sein des services del’Etat. Si nul ne peut douter que « dansles administrations de l’Etat, des organisa-

tions et des procédures ont été mises enplace de longue date afin de contrôler la ges-tion des deniers publics et la mise en œuvredes politiques publiques »4, la notion degouvernance de l’audit interne interrogetoujours autant voire plus qu’au débutdes travaux, nécessitant de plus unapprofondissement dans le contexte dudécret et de la circulaire précités.Prenant une dimension de think tank, legroupe professionnel, qui s’est à la foisrenouvelé et élargi au fil des ans, pro-pose d’apporter un éclairage et desrecommandations sur la gouvernancede l’audit interne au profit des décideursministériels.

Donner du sens àla gouvernance de l’auditinterne au sein des servicesde l’Etat

Les adaptations et transpositions préci-tées convergent sur une définition de lagouvernance comme étant « un dispositifconstitué de l’ensemble des processus etstructures mis en place par les autorités hié-rarchiques (instances dirigeantes) afin d’in-former, de diriger, de gérer et de piloter lesactivités de l’organisation en vue de réaliserses objectifs ».

En premier lieu, la gouvernance de l’au-dit interne doit s’inscrire dans cette défi-nition.

En second lieu, « La réalité des adminis-trations et de dispositifs de contrôle est unhéritage de l’histoire. Elle est donc diverseet peut tout aussi bien, ici, répondre depuisdes années à la plupart des exigences del’audit, et là, avoir une plus grande margede progrès. Le décret de juin 2011 laisseavec sagesse à chaque administration lechoix du chemin à emprunter pour progres-ser dans cette voie. »5

S’inspirant des prises de position del’IFACI sur le gouvernement d’entre-prise (juillet 2002) et sur le rôle de l’auditinterne dans le gouvernement d’entre-prise (mai 2009), rédigées en partenariatavec l’Institut Français des Administra-teurs, le groupe professionnel s’est inté-

« Les normes s’appliquent auxauditeurs internes et à l’activitéd’audit interne. Tous les audi-teurs internes ont la responsabi-lité de se conformer aux normesrelatives à l’indépendance et àl’objectivité, ainsi qu’aux compé-tences et à la conscience profes-sionnelle individuelles. De plus,ils doivent se conformer auxnormes relatives aux responsa-bilités associées à leur poste. Lesresponsables de l’audit interneont la responsabilité d’assurer laconformité globale de l’activitéd’audit interne avec les normeset d’en rendre compte. »3

38

LIBRES PROPOS


ressé tour à tour au positionnement et àl’identification respectifs de la missionministérielle d’audit interne et du res-ponsable de l’audit interne, et au rôle ducomité ministériel d’audit interne, envisant à émettre des recommandationspratiques et réellement applicables dansun contexte étatique.

Sans pour autant les nier, les débats sur« audit interne », « inspection géné-rale », « conseil général », « inspection »ou « contrôle » ont été placés au secondplan, leur réalité étant néanmoins priseen compte. A l’évidence, les culturespréexistantes en matière d’inspection etde surveillance administrative étantancrées de longue date dans l’ADN decertains départements ministériels, cha-cun a pu avancer ses particularismespour s’assurer que le texte les couvrebien, ou a minima n’y fait pas obstacle.C’est un premier pas en matière de gou-vernance de l’audit interne au profit desservices de l’Etat.

C’était cependant sans compter sur unerelecture externe au groupe, par lecomité de lecture de l’IFACI, qui aconduit à reposer un questionnementfort justifié montrant que la convergenceen matière de gouvernance devaitencore progresser malgré les avancéesque le groupe considérait comme…significatives. Le groupe a donc été chal-lengé sur ses propres travaux.

En dernier lieu, si une année a éténécessaire pour établir un total consen-sus entre les membres, au final, le travailen vaut la peine, ne serait-ce que pourl’échange d’expérience. En effet, si cha-cun a progressé dans la connaissance del’autre et de son organisation ministé-rielle, cette progression très exigeantepour tous a permis de stabiliser undocument concis dont la prise encompte des recommandations devraitpermettre :• que la mission ministérielle d’auditinterne soit reconnue en tant que telleet exerce son rôle en toute légitimitéafin de donner une assurance sur ledegré de maîtrise des opérations faceaux enjeux du département ministé-riel ;

• que le responsable de l’audit interne(RAI), quel que soit son positionne-ment dans le ministère, soit un vraiRAI au sens des normes profession-nelles ;

• que le comité d’audit interne soit uncomité d’audit digne de cette appella-tion répondant aux principaux critèresle caractérisant, en particulier ceuxrelatifs à sa composition et à ses mis-sions.

Tout ceci dans le respect de l’organisa-tion propre à chaque ministère, et c’estbien là l’enjeu d’un tel document.

L’essai est marqué, il reste à chacund’œuvrer pour le transformer par unemise en pratique qui lui sera propre.

Au final, l’audit interne dansles administrations de l’Etatdiffère-t-il de celui du secteurprivé ?

Si chaque lecteur a sa propre perception,au-delà des débats sémantiques et de lanécessaire appropriation des normes parles acteurs étatiques, la différence essen-tielle réside dans la gouvernance del’audit interne.

La prise de position de mai 2014 a doncl’ambition d’apporter une contributionaux réflexions en cours en précisant lesrôles possibles de chacun des interve-nants dans la mise en œuvre de l’auditinterne.

Ces échanges ont également permis deconsolider la nécessité que les adminis-trations publiques puissent se doterrapidement d’une vraie cartographie desrisques, d’asseoir une relation crucialeentre le contrôle et l’audit internes, au-delà des exigences comptables qu’ellesdoivent supporter, et donc de s’engagervers une vraie professionnalisation del‘audit interne, rejoignant un mouve-ment de fond dont les dimensions euro-péennes et internationales sont égale-ment essentielles.

1 Citations extraites du préambule du Cadre de Référence International des Pratiques Professionnelles del’audit interne – Transposition dans les administrations de l’Etat et bonnes pratiques (IFACI – mars 2010).

2 Missions pilotées par l’IGF Henri Guillaume :- Décembre 2008 : rapport de la mission de comparaisons internationales relative à l’audit et l’évalua-tion dans les administrations de cinq pays de l’OCDE et de la commission européenne ;

- Octobre 2009 : rapport relatif à la structuration de la politique de contrôle et d’audit internes de l’État.3 Citation extraite du chapitre introduction des normes du CRAIE.4 Citation extraite du préambule de la Transposition des Normes Professionnelles de l’audit interne etbonnes pratiques – édition spéciale Administration de l’Etat (juillet 2011).

5 Extrait de la prise de position IFACI relative à la gouvernance de l’audit interne au sein des services de l’Etat (mai2014). Vous trouverez cette prise de position sur le site de l’IFACI www.ifaci.com, rubrique « Prise de position ».

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

Calendrier 2014SESSIONS Durée Tarifs

adhérentsTarifs nonadhérents janv. févr. mars avril mai juin juillet sept. oct. nov. déc.

SE FORMER À LA MAÎTRISE DES ACTIVITÉS ET AU CONTRÔLE INTERNE

S’initier à la maîtrise des activités et au contrôle interne 2 j 950 € 1 125 € 16-17 13-14 10-11 7-8 5-6 5-6 1-2 15-16 2-3 6-7 4-5

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 20-22 17-19 12-14 9-11 12-14 11-13 7-9 17-19 6-8 12-14 8-10

Elaborer le référentiel de maîtrise des activités 2 j 1 200 € 1 350 € 23-24 20-21 17-18 14-15 15-16 17-18 10-11 23-24 9-10 18-19 15-16

Piloter un dispositif de maîtrise des activités et de contrôle interne 2 j 1 200 € 1 350 € 27-28 25-26 19-20 16-17 19-20 19-20 25-26 13-14 20-21 17-18

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 29-30 24-25 23-24 20-21

Maîtrise des activités, contrôle interne et communication 2 j 1 200 € 1 350 € 18-19 21-22 7-8 18-19 22-23 11-12

SE FORMER À L’AUDIT INTERNE

Les fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 950 € 1 125 € 9-10 5-6 6-7 3-4 6-7 3-4 1-2 11-12 2-3 13-14 3-4

Conduire une mission d’audit interne : la méthodologie 4 j 1 950 € 2 150 € 13-16 11-14 10-13 8-11 12-15 10-13 1-4 15-18 6-9 18-21 8-11

Maîtriser les outils et les techniques de l’audit 3 j 1 625 € 1 775 € 20-22 17-19 17-19 14-16 19-21 16-18 7-9 22-24 13-15 24-26 15-17

Maîtriser les situations de communication orale de l’auditeur 2 j 1 050 € 1 150 € 23-24 20-21 20-21 17-18 22-23 19-20 8-9 25-26 16-17 27-28 18-19

Réussir les écrits de la mission d’audit 2 j 1 050 € 1 150 € 27-28 24-25 24-25 22-23 26-27 23-24 10-11 29-30 20-21 25-26 18-19

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 525 € 1 675 € 29-31 17-19 26-28 22-24 19-21

Désacraliser les systèmes d’information 3 j 1 525 € 1 675 € 26-28 2-4 17-19 1-3

Détecter et prévenir les fraudes 2 j 1 050 € 1 150 € 26-27 24-25 25-26 25-26 22-23 4-5

Le management

Piloter un service d’audit interne 2 j 1 300 € 1 450 € 18-19 5-6 6-7

Manager une équipe d’auditeurs au cours d’une mission 1 j 685 € 770 € 21 4 27

L’audit interne dans les petites structures 1 j 685 € 770 € 16 7

Balanced Scorecard du service d’audit interne 1 j 685 € 770 € 28 26

Le suivi des recommandations 1 j 685 € 770 € 28 10 30 30 28

Préparer l’évaluation externe du service d’audit interne 2 j 1 300 € 1 450 € 20-21 12-13 24-25

L’audit interne, acteur de la gouvernance 1 j 685 € 770 € 9 1

Audit interne, contrôle interne et qualité : les synergies 1 j 685 € 770 € 11 8

Les audits spécifiques

Audit du Plan de Continuité d’Activités - PCA 2 j 1 300 € 1 450 € 11-12 26-27 19-20

Audit de la fonction Comptable 2 j 1 300 € 1 450 € 15-16 6-7

Audit de performance de la gestion des Ressources Humaines 3 j 1 525 € 1 675 € 2-4 4-6

Audit de la fonction Achats 2 j 1 300 € 1 450 € 19-20 29-30

Audit des Contrats 1 j 685 € 770 € 21 21

Audit de la fonction Contrôle de Gestion 2 j 1 300 € 1 450 € 20-21 12-13

Audit de la Sécurité des Systèmes d’Information 2 j 1 300 € 1 450 € 26-27 24-25

Audit des Processus Informatisés 2 j 1 300 € 1 450 € 17-18 4-5

Audit de la Conformité à la Législation Sociale 2 j 1 300 € 1 450 € 12-13 2-3

Audit du Développement Durable 2 j 1 300 € 1 450 € 14-15 9-10

Audit des Projets et Investissements 2 j 1 300 € 1 450 € 1-2 17-18

SE FORMER DANS LE SECTEUR PUBLIC

Le contrôle interne dans le secteur public 2 j 1 300 € 1 450 € 20-21 9-10 6-7

Pratiquer l’audit interne dans le secteur public 4 j 1 950 € 2 150 € 1-4 16-19 9-12

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER

Le contrôle permanent et la conformité dans le secteurbancaire et financier 3 j 1 525 € 1 675 € 11-13 17-19 10-12

Pratiquer l’audit interne dans une banque ou un établissementfinancier 4 j 1 950 € 2 150 € 16-19 22-25 15-18

SE FORMER DANS LE SECTEUR DES ASSURANCES

Le contrôle interne dans le secteur des assurances 2 j 1 300 € 1 450 € 10-11 6-7 11-12 4-5

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 950 € 2 150 € 4-7 23-26 20-23 2-5

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE

Audit de la gestion des stocks et de la logistique 2 j 1 300 € 1 450 € 29-30 2-3

Audit du processus de ventes 2 j 1 300 € 1 450 € 7-8 15-16

ACQUÉRIR UNE CERTIFICATION Voir notre site internet : www.ifaci.com

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

CONFÉRENCEANNUELLE

2-3 octobre 2014

AUDIT,RISQUES,

CONTRÔLE :DES SYNERGIESAU SERVICE DE

LA PERFORMANCEDURABLE

Cité des sciences et de l’industrieParis

Anne Lauvergeon,Présidente de la

Commission Innovation2030, PDG A.L.P.

Avec la participation de :

w w w . c o n f e r e n c e i f a c i 2 0 1 4 . c o m Retrouvez-nous

Approfondir l’actualité de la profession : relations avec le comité d’audit, avec les auditeurs externes, reporting intégré,nouvelles technologies de l’information, échangez avec vos pairs sur l’actualité de la profession.

Améliorer les pratiques professionnelles : au travers des ateliers et de vos échanges avec les intervenants et lespartenaires de la conférence, découvrez les meilleures pratiques professionnelles.

Développer votre vision prospective : dirigeants, administrateurs, régulateurs mais aussi philosophes, scientifiques oumusiciens nous aideront à développer une vision prospective de l’audit et du contrôle internes.

Élargir votre réseau professionnel : rencontrez plus de 400 professionnels des métiers de l’audit et du contrôle interneset des risques.

Élaborer votre programme à la carte : définissez votre propre programme de conférence parmi les 11 sessions plénièreset les 9 ateliers thématiques.

Luc Ferry,Philosophe,

Ancien Ministre

Claudie Haigneré,Présidente Universcience,

Ancienne Ministredéléguée

Nicole Notat,PDG, Vigéo

Philippe Peuch Lestrade,Deputy to the CEO, IIRC

René Proglio,Président France deMorgan Stanley

En partenariat avec :

1

FICHE TECHNIQUE

juin/juil. 2014 - FICHE TECHNIQUE N°50 - Audit & Contrôle internes

Les normes IFACI disent que « Le responsable del’audit interne doit partager les informations etcoordonner les activités avec les autres prestataires

internes et externes de services d’assurance et de conseil,de manière à assurer une couverture adéquate des travauxet à éviter dans toute la mesure du possible les doublesemplois ». Cette coordination peut sembler quelquefoisun peu théorique. L’adhésion de tous les acteurs estnécessaire pour une bonne mise en œuvre de cettenorme : à titre d’exemple la coordination des commis-saires aux comptes.

Ainsi, concernant les prestataires externes que sont lescommissaires aux comptes (CAC), l’appui des conseilsd’administration et de la direction générale est essen-tiel. La coordination ne peut fonctionner que si cesorganes de gouvernance sont conscients qu’ils ontune responsabilité, et dans le choix, et dans le suivi,des activités des commissaires aux comptes.

Une fois la coordination acceptée, il faut que lesopérationnels jouent également le jeu. Cette missionde coordination, très transverse dans l’entrepriseimplique un certain nombre d’acteurs internes – desdirections comptable, financière et technique, desdirections opérationnelles de gestion mais également

Coordination des activitésd’audit interne et d’auditexterne et partage desinformations : rêve ou réalité ?

Paul-Henri Mézin

Directeur de l’audit, Malakoff Médéric

2

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°50 - juin/juil. 2014

des directions support (DRH, informatique…). Inter-locuteur privilégié, la direction de l’audit est un facili-tateur dans la mission des commissaires aux comptessur l’ensemble des entités du groupe (environnementcomplexe composé de plusieurs entités, plusieurs acti-vités…) pour assurer le partage d’informations, lacouverture adéquate de leur travaux et limiter lesdoubles emplois.

En France, le commissaire aux comptes est nommé,pour six ans. Le choix se fait au niveau des conseilsd’administration. Les membres du comité d’auditdoivent participer au choix des commissaires auxcomptes, avec tout ce que cela implique : le droit deveto notamment. La nomination elle-même est faiteau niveau de l’assemblée générale et la décisionappartient à celle-ci.

Des critères et des formalités d’échanges

Le choix des commissaires aux comptes passe par uneprocédure d’appel d’offres – voire même selon laréglementation, par une procédure d’appel d’offreseuropéen. Les critères d’attribution et de sélectionproposés font l’objet d’une analyse à laquelle lecomité d’audit participe, s’assurant notamment del’indépendance des commissaires aux comptes. Defaçon opérationnelle, la direction de l’audit a gérél’appel d’offres, avec l’appui de la direction des achats,puisqu’il s’agit là d’un achat de prestations. Sont inter-venues également les directions concernées dont, ladirection comptable – interlocuteur privilégié – qui aégalement participé à la sélection.Ce processus doit être anticipé et intégrer les impéra-tifs réglementaires notamment l’avis favorable desautorités de tutelles adéquates dans des délais prédé-finis.L’appel d’offre permet de gérer un budget pendanttoute la durée du mandat des commissaires auxcomptes de six ans à isopérimètre... : honoraires desvacations selon les types d’intervenants, nombre devacations, vacations supplémentaires…

Tous les ans, le commissaire aux comptes rédige unelettre de mission pour cadrer la mission de sonmandat de contrôle sur un exercice donné, sur uneentité donnée.

Préalablement à la rédaction de la lettre de mission,la direction de l’audit organise une réunion de lance-ment réunissant les acteurs concernés (commissairesaux comptes, directions comptable, financière, tech-nique, directions opérationnelles de gestion, direc-tions supports selon les thèmes retenus). L’objectif decette réunion est de préciser les faits marquants del’année, de définir le périmètre de la mission decontrôle pour un exercice donné, de cadrer les datesd’intervention. Les thèmes sont choisis d’un communaccord avec les directions concernées, la direction del’audit et le commissaire aux comptes, selon les dili-gences qui leur appartiennent, en fonction des risqueset en prenant en compte notamment les missionsréalisées par la direction de l’audit.

Le rôle de la direction de l’audit est de coordonner lestravaux et d’établir une feuille de route à l’attentiondes commissaires aux comptes et des directionsconcernées qui peuvent être nombreuses. De tous cesacteurs, il faut connaître le rôle et ce qu’ils doiventfournir comme documents, pour permettre auxcommissaires aux comptes de réaliser correctementleurs interventions (périmètre, couverture, interlocu-teurs, délais…).

Cela part d’un planning définissant les jalons majeursincluant la date de lancement des missions, lespériodes d’intervention des auditeurs ainsi que lesréunions de synthèse des travaux d’intérim, les datesde remise des documents dont le rétro planning declôture ; ce dernier étant bien sûr de la responsabilitétotale de la direction comptable. Mais il appartient àla direction de l’audit, en revanche, de s’assurer queces jalons sont respectés et, en particulier, que lesdocuments sont fournis à temps aux commissaires auxcomptes et que les contrôles qui vont être faits par cesderniers vont rentrer dans ce planning. Il y a là un vrairôle d’accompagnement de la part de l’audit... quipeut s’avérer délicat car difficile à faire accepter par lesdifférents acteurs, surtout quand il s’agit d’effectuerdes relances en cas de retard dans la remise de docu-ments.

Les lettres de mission établies par les différentscommissaires aux comptes sont validées et signées parla direction de l’audit.

3juin/juil. 2014 - FICHE TECHNIQUE N°50 - Audit & Contrôle internes

Cette coordination présente des avantages et desinconvénients.• Avantages : pour l’entreprise, pour la directiongénérale et le conseil d’administration,- en veillant à l’indépendance du commissaire auxcomptes,

- en assurant une gestion globale et centralisée dubudget des honoraires des commissaires auxcomptes,

- en jouant un rôle de capteur d’informations quiest tout à fait intéressant pour l’audit, pour faireremonter des dysfonctionnements ou des risques,mais également pour le commissaire aux comptesdans la prise de connaissance des travaux de l’au-dit.

Et réciproquement, la remontée d’informationsque la direction de l’audit a via lestravaux du commissaire auxcomptes sert notamment à l’éla-boration du programme d’au-dit.En cas de blocage, l’audit estl’acteur fluidifiant deséchanges.

• Inconvénient : si elle ne jouepas ce rôle de fluidifiant dans lamesure où elle n’a pas de rôleopérationnel. Dans ce cas, cette coor-dination non reconnue risque de devenirune lourdeur – tant pour les opérationnels que pourles commissaires aux comptes.

En fait, il faut montrer que l’audit est là en tant quefacilitateur, pour identifier, voire anticiper les difficul-tés et éviter des incompréhensions qui pourraientavoir des conséquences fâcheuses sur les travaux descommissaires aux comptes.

Pour consolider le lien étroit qui existe avec lescommissaires aux comptes, la direction de l’auditassure un suivi régulier des recommandations qu’ilsémettent suite aux réponses apportées par les direc-tions concernées – tant au niveau de la phase d’inté-rim qu’au niveau de la phase finale des interventionsdes commissaires aux comptes pour un exercicedonné.

Ce suivi leur est remis lors de la mission de contrôlede l’exercice suivant afin qu’ils s’assurent de la réalitéde l’état d’avancement.

Conformément aux normes des commissaires auxcomptes, ces derniers prennent également connais-sance des travaux de l’audit interne (rapports d’audit,suivi des recommandations émises, état d’avance-ment…).

Cette relation permet notamment d’apporter auxcommissaires aux comptes une compréhension sur lefonctionnement du groupe au travers de l’état deslieux que l’audit établit lors de ses missions internes.

Il y a quatre étapes importantes dans la coordinationfacilitant notamment le partage d’information :

• La phase de lancement qui, à l’issued’une réunion à laquelle participent

les acteurs principaux concernéspar le contrôle, donne lieu àdeux livrables établis respecti-vement par le CAC et la direc-tion de l’audit : d’une part lalettre de mission et d’autrepart la feuille de route préci-sant les plannings des différents

jalons (interventions, synthèses,fournitures et remises des docu-

ments…). Ceci a notamment pourobjectif d’optimiser le temps disponible dont

disposent les audités pour répondre aux questionsdes auditeurs en évitant les doubles emplois (multi-plication des entretiens, des vérifications…).

• La phase d’intérim, d’une durée d’environ 15-20jours, permet aux commissaires aux comptes d’ap-précier les dispositifs de contrôle interne mis enplace sur des processus identifiés et d’émettre desrecommandations préalables au final. A l’issue decette intervention, une réunion de synthèse avec laparticipation des directions concernées (y comprisrisques) permet aux commissaires aux comptes deprésenter leurs principales recommandations enprenant en compte les réponses apportées par lesdirections.

• La phase finale permet aux commissaires auxcomptes d’effectuer leurs contrôles réglementaireslors de la clôture des comptes. A l’issue de cette

« Interlocuteur privilégié,la direction de l’audit est

un facilitateur dans la missiondes commissaires aux comptes

sur l’ensemble des entités »

juin/juil. 2014 - FICHE TECHNIQUE N°50 - Audit & Contrôle internes 4

intervention, les commissaires aux comptes présen-tent les résultats de leurs travaux auprès des direc-tions concernées (y compris risques). Elle permet enoutre de prendre en compte les réponses apportéessuite aux recommandations émises, de lister le resteà faire avant remise définitive des livrables.

A partir des vérifications qu’ils ont menées, lescommissaires aux comptes émettent leur opinionqu’ils formalisent dans leurs rapports dont la directionde l’audit coordonne la transmission notamment versles directions en charge des relations avec lesinstances.

Risques, contrôle interne, conformité

Un des prestataires internes privilégiés pour ladirection de l’audit est la direction desrisques avec trois activités essen-tielles : l’activité contrôle interne(gestion et pilotage du contrôlepermanent) ; une direction dela conformité et une directionde la sécurité des systèmesd’information. La directiondes risques anime un réseaud’adjoints de contrôle interneau sein de chaque direction. Ladirection de l’audit partage les infor-mations avec l’ensemble de ces acteurs.Ces échanges portent notamment sur lacouverture des travaux d’audit (au travers notammentla prise en compte préalable du dispositif de contrôleinterne et gestion des risques sur les processus audi-tés) et permettent d’éviter dans la mesure du possibleles doubles emplois (prise en compte des diagnostics,des projets menés…).

De façon opérationnelle, la direction de l’audittravaille en étroite collaboration avec la direction desrisques, notamment sur un point qui me paraît essen-tiel, qui est l’outil de suivi de nos recommandations.La direction des risques a développé un outil surlequel nous avons « branché » un module audit quipermet de suivre les recommandations d’audit. Cesrecommandations sont dans l’outil de gestion desrisques, qui apporte une vraie valeur ajoutée, avec toutun système de workflow permettant d’adresser à une

direction auditée la recommandation ; une fois celle-ci acceptée, un lien sera établi entre la recommanda-tion et les actions mises en place pour sa mise enœuvre.

Et l’outil permet un suivi des actions, ce qui nousdonne la possibilité de faire un état des lieux trèsrapide sur une mission, pour savoir quel est le tauxd’avancement des actions, d’avoir les justificatifs liésaux actions et donc, à distance, de faire notre suivi.

L’intérêt de cet outil, outre le partage d’informations,est qu’il est commun avec la direction des risques. Etsurtout, il s’appuie sur des référentiels qui sont lesréférentiels de la direction des risques (référentiel desrisques, référentiel des causes, référentiel des proces-

sus, référentiel des organisations…). A terme, celapermet une cohérence dans les reportings

(avec la même cartographie des réfé-rentiels, un même langagecommun) facilitant ainsi l’ana-lyse des écarts entre le contrôlepermanent et l’appréciationétablie par l’audit dans sescontrôles périodiques.

Cet outil n’est ni plus ni moinsque la représentation physique de

cette collaboration avec la directiondes risques : informations partagées

avec l’ensemble des directions concernées.

La transparence

Au-delà des assemblées générales, les commissairesaux comptes sont entendus périodiquement par lesadministrateurs dans le cadre de commissions spéci-fiques. A cette occasion, ils présentent l’état d’avan-cement de leurs travaux (comptabilité, fiscalité…) etleurs appréciations notamment sur le fonctionnementdes dispositifs de contrôle interne et de clôture descomptes.Ces commissions permettent des échanges avec lesadministrateurs sur différents thèmes liés notammentaux évolutions réglementaires.

La direction de l’audit coordonne leurs interventionslors de ces commissions.

« Le responsablede l’audit interne

doit s’assurer, en continu,de l’efficacité et des

performances des CAC »

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°50 - juin/juil. 20145

C’est pourquoi il est nécessaire d’avoir des échangesréguliers avec les commissaires aux comptes. Et s’ilsressentent des difficultés ou des réticences, ils peuventlibrement les exprimer à un tiers interne. C’est uneétape intermédiaire, de façon à ce qu’en cas de diffi-cultés, elles puissent immédiatement être remontéesaux directions concernées et, si nécessaire auprès dela direction générale et du comité d’audit.

Par ailleurs, comme cela a déjà été indiqué, lescommissaires aux comptes ont connaissance destravaux que l’audit interne a mené dans le cours del’exercice tant en terme de mission que de suivi.

Efficacité et performances des CAC

Le responsable de l’audit interne doit s’assurer, encontinu, de l’efficacité et des performances des CAC.

A partir du moment où le commissaire aux comptes aidentifié l’audit comme étant le coordonnateur, quandil rencontre des difficultés en termes de budget, desuivi de la documentation, de fourniture d’éléments,etc., il a un interlocuteur à qui s’adresser. Il faut quecet acteur ait du poids pour faire « bouger les lignes ».

Lors des interventions des commissaires aux comptes,des échanges réguliers sont menés entre les directionsopérationnelles et la direction de l’audit permettantd’appréhender les travaux menés et les difficultésrencontrées ; cela permet d’avoir un retour de la partdes directions auditées.

Au cours des réunions de synthèse, c’est l’occasion defaire le point avec les opérationnels sur les travaux descommissaires aux comptes, le fonctionnement de leurintervention… : cela permet de capitaliser pour l’exer-cice suivant.

A cette occasion, on évalue également la pertinencedes constats, des priorités, des recommandations etdu suivi des recommandations. Dans les choix quisont faits on s’assure de la pertinence et de l’efficacitéde leurs travaux.

Ainsi la direction de l’audit apporte une attentionparticulière aux reportings de synthèse, de validation

des constats et réponses apportées. Les documentssont structurés par thème et les recommandationspriorisées. Cela permet une cohérence avec lesrapports d’audit interne (ex : 4 niveaux de priorité :alerte, vigilance, à suivre, satisfaisant).

Jouer le jeu

La relation entre les commissaires aux comptes et ladirection de l’audit est basée sur la confiancemutuelle. Il est important que cela soit cadré par desnormes.

Comme nous l’avons vu, chacun y trouve son compte.Cette interlocution de l’audit interne a pour objet lacoordination des travaux entre les différents acteursde l’entreprise. La direction de l’audit n’est pas là pourse substituer à l’interlocution que les commissairesaux comptes ont avec les directions comptable, finan-cière et technique ou d’autres directions opération-nelles : surtout pas !!

L’audit est là pour encadrer cette relation, en touteindépendance et transparence. Il facilite le partaged’informations, la bonne couverture d’intervention, lagestion efficiente du temps passé par les audités lorsdes contrôles.A une entité correspond un commissaire aux comptes.Ainsi, plus une entreprise est complexe, plus lenombre de commissaires aux comptes augmente etdonc plus la nécessité de l’action de l’audit se faitsentir.Cet exemple des commissaires aux comptes peut sedupliquer avec d’autres prestataires (audit externe,contrôle périodique des autorités externes decontrôles…).

En conclusion, la coordination des actions et lepartage des informations entre la direction de l’auditet les autres prestataires internes et externes deservices d’assurance et de conseil, est bien une réaliténécessaire et indispensable à condition que tous lesacteurs directs ou indirects adhèrent au dispositif misen place.

6juin/juil. 2014 - FICHE TECHNIQUE N°50 - Audit & Contrôle internes

AUDITEUR INTERNE EXTERNE revue 220.pdfEBZONE Communication 32, avenue de Beauregard 94500...

Documents

Transcript of AUDITEUR INTERNE EXTERNE revue 220.pdfEBZONE Communication 32, avenue de Beauregard 94500...