LE NOUVEAU COSO - Chapters Site revue... · o n c e p t i o n: e b z o n e c o m m u n i c a t i o...

l a r e v u e d e s p r o f e s s i o n n e l s d e l ’ a u d i t , d u c o n t r ô l e e t d e s r i s q u e s

Dans l’actualité

Teva, Ansaldo, Spanghero :

comment auditer les risques de

produits non-conformes ?

International La contribution de l’audit à la

bonne gouvernance du secteur

public : réflexions issues d’une

table ronde

Extraits du discours de clôture

prononcé par Amor Souiden lors

de la dixième conférence de

l’UFAI

Les audits métiersLa pratique des audits de

performance

Fiche technique

>> La diffusion des résultatsimplique un partage clair desresponsabilités

N°215Juin-Juillet 2013

LE NOUVEAU COSO... et ses 17 principes fondateurspour un contrôle interne efficient

Marquez des points ...avec la nouvelle certificationprofessionnelle

Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plusparticulièrement votre capacité à :

évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ; sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des

risques ; vous centrer sur les risques stratégiques de l’organisation ; apporter encore plus de valeur ajoutée à votre organisation.

Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelledans les cinq domaines couverts par la certification CRMA™, et titulaire de di-plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesurede faire une demande de REP en vue d’obtenir la certification CRMA™.

POUR EN SAVOIR PLUS ...

Rendez-vous sur le site internet de l’IFACI (www.ifaci.com)à la rubrique « Carrière + Diplômes ».

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Pat

y W

ingr

ove

- Fot

olia

.com

3juin-juillet 2013 - Audit & Contrôle internes n°215

La revue des professionnels de l’audit,du contrôle et des risques

n°215 - juin-juillet 2013

EDITEURInstitut Français de l’Audit et du Contrôle Internes (IFACI)Association Loi 190198 bis, boulevard Haussmann75008 Paris (France)Tél. : 01 40 08 48 00 Mel : [email protected] : www.ifaci.com

DIRECTEUR DE PUBLICATIONFarid Aractingi

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

RÉDACTION - RÉVISIONJean-Loup Rouff - Béatrice Ki-Zerbo

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 01 40 08 48 02Mel : [email protected]

RÉALISATIONEBZONE Communication32, avenue de Beauregard94500 Champigny-sur-MarneTél. : 01 48 80 00 56Mel : [email protected]

IMPRESSIONImprimerie de ChampagneRue de l’Etoile de Langres - ZI Les Franchises52200 Langres

ABONNEMENTElsa Sarda - Tél. : 01 40 08 47 84Mel : [email protected]

Revue bimestrielle (5 numéros par an)ISSN : 2117-1661CPPAP : 0513 G 83150Dépôt légal : mai 2013Crédit photos : © sk_design - Fotolia.com

Prix de vente au numéro : 25 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle, faitesans le consentement de l’auteur, ou de ses ayants droits, ou ayantscause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que cesoit, constituerait une contrefaçon sanctionnée par les articles 425et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

Dans ce numéro, nous vous recommandonstout particulièrement la lecture du dossierconsacré au COSO 1, référentiel de contrôle

interne mondialement connu, qui vient de faire l’ob-jet d’une mise à jour. Né le 14 mai 2013, il remplacerale COSO 1 version 1992, en décembre 2014.

Comme le note Serge Villepelet, président de PwC aumoment de l’interview qu’il a bien voulu nous accor-der « c’est par le biais de 17 principes structurants que le COSO 2013 définit les élémentsessentiels en matière de contrôle interne pour aider les organisations – quels que soientleur taille ou leur domaine d’activité – à faire face dans un monde qui devient de plus enplus complexe ».

Ces 17 principes sont présentés et commentés avec justesse et exhaustivité parBéatrice Ki-Zerbo, directrice de la recherche de l’Institut. Laurent Arnaudo, directeurde l’audit interne de Sodexo, rappelle l’aide qu’a apportée le COSO lorsqu’il s’estagi, en 2006, pour les entreprises listées à New York, de se mettre en conformitéavec le Sarbanes Oxley Act américain, et de se féliciter des nombreux aspects nova-teurs du COSO 2013.

Pour sa part, Raymond Marfaing, directeur adjoint en charge des risques et ducontrôle interne à SNCF, nous précise que le cadre de référence du contrôle internede l’AMF, très adapté à la culture de l’entreprise et à l’environnement français, a étéchoisi pour le rapport du président mais que le COSO est utilisé pour les travauxinternes de la direction de l’audit et des risques. Ce choix, argumente-t-il, a été d’au-tant plus facile à faire que le cadre de référence de l’AMF est cohérent avec le COSO,et d’insister sur la nécessité d’y intégrer les apports du COSO 2013, tout en conser-vant « son côté souple, agile et facile d’accès qui constitue, pour nous utilisateurs, un atoutet une attente ».

Rappelons que lorsqu’il s’est agi pour l’AMF de choisir, en 2005, un cadre de réfé-rence pour l’application de la loi de Sécurité Financière, elle a judicieusement arbitréen faveur d’un document qui tiendrait compte du « référentiel COSO afin de permettred’éviter dans la mesure du possible une duplication des contraintes de reporting externeen relation avec le contrôle interne ».

Peut-être serait-il opportun, à présent, que l’AMF s’assure de la nécessité de mettreà jour ou non son cadre de référence à l’aune des changements opérés dans leCOSO 1 version 92.

Le nouveau COSO... et ses 17 principes fondateurspour un contrôle interne efficient

Louis Vaurs - Rédacteur en chef

Contactez-nous :Tél. : 01 44 70 63 00

E-mail : [email protected]

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Jaku

b Ce

jpek

- Fo

tolia

.com

Votre engagement pour+ de bonnes pratiques

+ de performance+ de légitimité

+ de sécurité

Progressez surdes bases solides

Le label de qualité et de performance CertificationIFACI est délivré aux services d'audit interne quiappliquent de façon pérenne les trente exigencespragmatiques du Référentiel Professionnel del'Audit Interne.


SOMMAIRE

DANS L’ACTUALITÉ DOSSIER

Le nouveau COSO... et ses 17 principes fondateurspour un contrôle interne efficient

Teva, Ansaldo, Spanghero : commentauditer les risques de produits non-conformes ?Antoine de Boissieu

6

p. 15 à 32

Le COSO 1992 est mort, vive le nouveau COSOLaurent Arnaudo

25

Plaidoyer pour des principes justes et pertinents :Comment donner du sens aux systèmes de contrôleinterne ?Béatrice Ki-Zerbo

16

Le COSO 2013 et le cadre de l’AMF ne s’excluent ni nes’opposent, ils sont complémentairesAnne Bosche-Lenoir et Raymond Marfaing

29

Le COSO 2013 : une mise à jour du référentield’origine pour mieux maîtriser les évolutionsSerge Villepelet

22LES AUDITS MÉTIERS

La pratique des audits de performanceEmmanuel Pascal

33

INTERNATIONAL

La contribution de l’audit à la bonnegouvernance du secteur public :réflexions issues d’une table rondeProf. Jan Mattijs

8

Extraits du discours de clôture prononcépar Amor Souiden lors de la dixièmeconférence de l’UFAI

10

LA PROFESSION EN MOUVEMENT

Lu pour vous14Evénements37

FICHE TECHNIQUE N°45

>> La diffusion des résultats implique un partage clairdes responsabilitésSteeve Bensoussan

6

DANS L’ACTUALITÉ

Audit & Contrôle internes n°215 - juin-juillet 2013

Teva, Ansaldo, Spanghero : comment auditer les risquesde produits non-conformes ?Antoine de Boissieu - Associé-gérant, OSC Solutions

L’actualité récentefournit plusieursexemples de pro-

blèmes de qualité de pro-duits finis : ainsi, certainesboîtes de diurétiques dulaboratoire Teva auraientcontenu des somnifères1.Auparavant, l’Europe avaitété secouée par le scandalede l’étiquetage des plats pré-parés à base de viande debœuf, qui contenaient en faitde la viande de cheval. L’ac-tualité nous fournit aussi desexemples tirés d’autres sec-teurs : les chemins de ferbelges et hollandais vien-nent de refuser la livraisonde TGV de leur fournisseurAnsaldo, au motif qu’il yavait trop d’anomalies ; lacommande de 19 TGV a étépurement et simplementannulée. Dans un autredomaine, le nouveau sys-tème de paye du ministèrede la Défense, Louvois, n’esttoujours pas fiabilisé plusd’un an après sa mise enservice à grande échelle. Unecellule de 60 personnes a dûêtre créée pour corriger etrégulariser les dizaines de

milliers d’erreurs de payeconstatées.

Tous ces exemples ont plu-sieurs points communs :

Des risques couvertspar des systèmesqualité …

Dans tous les cas, les entre-prises prises en défautavaient mis en place des sys-tèmes qualité pour garantirla qualité du produit final.Leurs fournisseurs eux-mêmes étaient couverts pardes dispositifs qualité, cen-sés être régulièrement audi-tés et certifiés soit par destiers, soit par les donneursd’ordre.

… envisageant les casexceptionnels …

L’autre élément frappant estque les systèmes de contrôlesemblaient très complets,puisqu’ils prévoyaient mêmeles cas exceptionnels, etdevaient mettre à l’abrid’enchaînements imprévus.Ils envisageaient tous la pos-

sibilité d’une malveillance,qu’elle soit interne ouexterne, qu’elle se produisependant le cycle de produc-tion, ou chez un fournisseur,ou en aval lors du processusde distribution. Dans lesdomaines pharmaceutiqueset agro-alimentaires, toute lachaîne de production et delivraison est ainsi penséepour empêcher, puis détec-ter, une modification acci-dentelle du produit. Demême, le développement deprogrammes complexescomme Louvois inclut descontrôles d’intégrité du codeet des contrôles de valida-tion des changements. Lesincidents devraient doncêtre très exceptionnels, voireimpossibles dans le cas del’industrie pharmaceutique.

… avec de nombreuxcontrôles sur leproduit fini

Le troisième point communtient à l’existence decontrôles qualité très forts enbout de chaîne. Ainsi, dansle cas d’Ansaldo, les trains

n’ont été livrés qu’après unesérie de tests et d’essais. Il enest de même pour le logicielLouvois, qui a fait l’objet demultiples tests et recettes,puis d’un déploiement pro-gressif sur des périmètreslimités, avant d’être étendu àtoute l’armée de terre. Dansles secteurs de la pharmacieet de l’agro-alimentaire, iln’est pas possible de contrô-ler l’intégralité des produits,mais des contrôles qualitésont normalement faits paréchantillonnage sur chaquelot de production. Dans tousles cas, les résultats de cestests et essais sont dûmentconsignés, enregistrés etanalysés.

Des impactspotentiels très forts

L’expérience montre doncque ces différents systèmesqualité ont pu être pris endéfaut. Or, si les risques denon-conformité du produitpeuvent avoir une probabi-lité d’occurrence très faible àl’échelle d’une entreprise,leur impact peut être catas-


trophique. L’exemple dePerrier en est une bonneillustration : après la décou-verte de traces de benzènedans certaines bouteilles auxEtats-Unis, en 1990, lasource a dû procéder au rap-pel de 280 millions de bou-teilles, avec un impact signi-ficatif sur son image demarque. Les ventes ont étédivisées par trois les annéessuivantes, et, vingt ans plustard, le volume de ventesn’atteint toujours que 70%du niveau d’avant la crise.De même, la situationd’Ansaldo est maintenanttrès délicate, dans un secteurhyper-concurrentiel. Lasociété italienne a peu dechances de décrocher denouveaux contrats pour desTGV, ce qui pourrait lacondamner à être vendue oula reléguer au rang de four-nisseur de composants pourses concurrents Alstom,Siemens ou Bombardier. LesSSII ayant développéLouvois (au premier rangdesquelles Steria, Eurogroupétant chargée de l’assistanceà maîtrise d’ouvrage) ontcertainement souffert de lapublicité négative que leur afaite ce projet. Les chiffres nesont pas disponibles, mais ilserait intéressant de connaî-tre l’évolution de leur chiffred’affaires avec les clientspublics. Enfin, Spanghero apurement et simplementdisparu depuis la découvertede viande de cheval dans sesproduits « pur bœuf ». Dansle cas de Teva, si l’on se basesur les quelques précédentsdisponibles2, il est possibleque le chiffre d’affaires desdeux produits incriminéssoit durablement impacté,

en raison de la défiance dugrand public.

Une approche d’auditen trois points

Ces risques sont significatifs,et souvent remontés par lescartographies des risques, etpourtant il est rare que l’ondemande à l’audit interne deles auditer, justement parceque l’on considère que leprocessus de production estdéjà couvert par des sys-tèmes de contrôle très per-formants, touchant au cœurde métier de l’entreprise, etsouvent certifiés par destiers. L’audit interne estencore parfois vu commen’ayant pas la légitimité etles compétences requises, oucomme incapable d’apporterune valeur ajoutée sur lesujet. Quelle approchedevraient donc avoir les DAIpour être utiles sur ce typede sujet ? Une démarchepragmatique peut être del’aborder sous trois angles :

1. Analyser les accidentsdu passéLes auditeurs doivent com-mencer par analyser les casd’échecs ou les incidentssignificatifs, et se poser deuxquestions : a) Ces incidentsou accidents pourraient-ilsse répéter ? b) A-t-on bienidentifié l’élément déclen-chant qui a permis la réalisa-tion de l’incident ? Si oui, a-t-on corrigé le processus à ceniveau là ? Dans les casd’Ansaldo et de Louvois, denombreux incidents etsignaux anormaux ontmanifestement été ignorés.Sur ce type d’audit, la réali-sation d’un benchmark préa-

lable peut s’avérer intéres-sante. Plutôt que d’imaginertous les scénarios possibles,les auditeurs peuventrechercher et analyser lesaccidents ou incidents signi-ficatifs avérés chez des tiers.La démarche d’auditconsiste alors à vérifier avecles audités que ces faits, avé-rés dans d’autres entre-prises, ne pourraient pas seproduire en interne. Ce typede benchmark est égalementutilisé pour réaliser desaudits sur les fraudes ou lasécurité industrielle.

2. Réfléchir aux situationsexceptionnellesL’analyse exhaustive et sys-tématique des dispositifsqualité est souvent impossi-ble, et peut rapidementdépasser les compétencestechniques des auditeurs. Enrevanche, ces derniers peu-vent réfléchir avec les audi-tés sur les conditions excep-tionnelles qui pourraientrendre inefficaces lescontrôles : crises, absences,conflits, malveillances, casde sous-traitance ou co-trai-tance… L’idée n’est pas depointer une faille ou uneinsuffisance liée à une étapeprécise du dispositif, maisd’identifier des situations oul’ensemble du dispositifserait pris en défaut. Dansles cas de Teva ou deSpanghero, c’est l’approchequ’il aurait fallu adopter :envisager une malveillance,ou une fraude volontaire dela direction.

3. Vérifier que le systèmede correction des anoma-lies fonctionne bienLes auditeurs internes peu-

vent enfin vérifier que le sys-tème qualité est capabled’identifier, d’analyser et decorriger les incidents et ano-malies. Les auditeurs doi-vent donc regarder (1) leprocessus de déclaration etde traitement des anomalies,et (2) le processus de pilo-tage du système qualité,pour s’assurer que lesactions correctives se situentau bon niveau, et ne portentpas que sur la correction dessymptômes.

Les DAI doivent se préparerà auditer ce type de sujets :la 8ème directive, le récentcode de gouvernance duMedef et l’actualité récentevont en effet pousser lescomités d’audit à demanderdes missions d’audit sur cesrisques. Les DAI devrontdonc avoir une approched’audit prête, permettantd’apporter de la valeur ajou-tée en alertant sur les faillesou les limites des dispositifsqualité existant.

1 Cette information a été reprisepar les médias comme étant avé-rée, mais il convient d’être pru-dent tant que les conclusions del’enquête officielle ne sont pasdisponibles ; l’interversion decomprimés lors de leur condition-nement semble en effet haute-ment improbable, pour ne pasdire impossible, à moins d’unemalveillance. Pour l’instant, unseul cas a été rapporté, par unpharmacien, et il n’y a pas d’autreélément de preuve permettant derecouper son affirmation.

2 Notamment, en France, l’affairede la Josacyne empoisonnée. Lechiffre d’affaires de cet antibio-tique pédiatrique s’est écroulé àla suite de cette affaire, et ne s’estjamais redressé, bien que lesenquêtes aient rapidement mis leproduit hors de cause.

8

INTERNATIONAL


Trois thématiques sur la structure

du contrôle, l’intérêt pour l’audit

et la contribution démocratique

avaient préalablement été proposées à

la réflexion des panelistes. Nous les pas-

sons en revue avec leurs réactions.

1 - Quelle structure pourun contrôle effectif etfonctionnel ?

L’efficacité du contrôle est le produit de

l’agencement d’un système, qui peut

déboucher sur des cercles vertueux

d’apprentissage et d’amélioration glo-

bale de la gestion. Quelles sont les

conditions (actionnables) pour fonder

un système de contrôle effectif, perti-

nent et légitime ?

La conception et la maturation des sys-

tèmes de contrôle interne fait manifes-

tement l’objet de trajectoires très

diverses d’une organisation à l’autre :

expérience déjà plus que décennale à la

SRWT ou à l’ONEM, elle vient seule-

ment de s’implanter au CPAS de

Bruxelles à la faveur d’un recrutement,

sans base légale spécifique. A contrario,

si le contrôle existait évidemment déjà

dans les administrations fédérales, sa

modernisation s’y avère lente en dépit

de textes de lois successifs depuis 2002.

Les témoins mentionnent dès lors une

grande diversité de ressources qui per-

mettent d’ancrer les pratiques de

contrôle interne et d’audit : bases

légales, compétences humaines nou-

velles, systèmes d’information de ges-

tion et dispositifs de contrôle de gestion,

normes professionnelles émanant de

l’IIA ou autres...

2 - A qui profite l’audit ?

L’audit interne (et même l’audit externe)

est souvent présenté comme une res-

Lors de la journée d’études organisée par l’IIABEL (IIA Belgique) le 12 décembre der-nier1, une table ronde a recueilli les points de vue de praticiens de l’audit et de res-ponsables opérationnels de services publics : M. Karel Baeck, ancien administrateurgénéral de l’ONEM (Office National de l’Emploi – Belgique) siégeant actuellementdans plusieurs comités d’audit et conseils d’administration, M. Jérôme Defrade, rece-veur du CPAS (Centre public d’action sociale) de Bruxelles, M. Pierre Reynders, chefdu Corps Interfédéral de l’Inspection des Finances, et M. Jean-Marc Vandenbroucke,administrateur général de la SRWT (Société Régionale Wallonne du Transport). Leprésent article retranscrit et commente cette table ronde ainsi que la suite de cer-tains débats, du point de vue de son animateur, observateur mais non spécialistede l’audit.

Prof. Jan Mattijs

Université Libre de Bruxelles

La contribution de l’audità la bonne gouvernancedu secteur public : réflexionsissues d’une table ronde


source d’amélioration pour les gestion-

naires opérationnels. Or, cela ne corres-

pond pas bien à la perception, plutôt

ambiguë, que les opérationnels ont de

cette fonction. Quels acteurs tirent

d’abord bénéfice de la mise en

place d’un système

d’audit, et différents

acteurs n’ont-ils

pas des objectifs

différents ?

Les bénéfices de

l’audit sont

d’abord mani-

festes pour la

chaîne des responsa-

bles hiérarchiques et des

organes de gestion. C’est en

tout cas l’opinion de la majorité du

panel, c’est à dire de responsables de la

gestion quotidienne ou de sa supervi-

sion, qui assument sans état d’âme le

rôle de renforcement du contrôle

conféré aux auditeurs. Dès lors, les

organes de gestion sont les premiers

bénéficiaires et les moteurs de la mise en

place des activités d’audit ; les autres

parties prenantes en tirent ensuite d’au-

tres bénéfices.

3. Quelle place pour l’auditdans une démocratie enmouvement ?

Dans la guidance de l’IIA Global (2012),

l’accent est mis sur le pouvoir, son

contrôle, et sur la lutte contre les mal-

versations et fautes de gouvernement.

Le raisonnement est essentiellement

hiérarchique, vertical. Cette approche

n’est-elle pas dépassée, dès lors que les

citoyens perdent confiance dans les ins-

titutions traditionnelles de la démocratie

représentative et que les politiques sont

de plus en plus conçues et prestées en

réseau ?

Concernant d’éventuelles innovations

dans la nature de ce qui est contrôlé, le

panel avoue un certain conservatisme :

les participants relèvent majoritairement

la nécessité de consolider le contrôle

interne sur les données de

base (régularité des

mandats, contrôle

des budgets...)

avant d’envisager

de nouveaux

objets de

contrôle et d’au-

dit, tels que par

exemple les modes

d’interaction avec les

parties prenantes.

Concernant les processus de contrôle, la

discussion s’est rapidement focalisée sur

l’exemple très concret de la publicité des

rapports d’audit. Le représentant de

l’inspection des finances mettait ainsi en

exergue les obligations découlant de la

loi sur la transparence des actes admi-

nistratifs, régulièrement invoquée par

des journalistes par exemple, pour obte-

nir la communication de rapports

concernant l’administration fédérale. A

contrario, le représentant des pouvoirs

locaux défendait la confidentialité des

rapports, nécessaire selon lui à l’instal-

lation effective et à la légitimité de l’au-

dit interne dans le contrôle interne de

l’entité ; M. Baeck défendait un raison-

nement pragmatique analogue pour les

entités dans lesquelles il intervenait.

Enfin, la SRWT présente une pratique de

compromis, par laquelle seul un résumé

des rapports d’audit interne est commu-

niqué au conseil d’administration et au

gouvernement wallon.

Ce manque d’unité montre à quel point

la question de la transparence est

actuellement à la frontière de l’état de

l’art en matière d’audit interne dans les

services publics, en dépit de l’existence

de guidances de l’IIA sur cette question.

La sensibilité du débat allait d’ailleurs

être confirmée par une deuxième dis-

cussion du même sujet lors de l’atelier

de l’après-midi sur l’audit interne face à

la fraude. Au cours de ce deuxième

débat, M. De Naeyer, de l’audit interne

de l’administration flamande (IAVA),

exprimait sa satisfaction quant à la

clause de réserve introduite dans le

décret flamand sur la transparence des

actes administratifs, qui exempte

expressément les rapports d’audit de

l’obligation de transparence. La disposi-

tion, déjà deux fois attaquée devant le

juge administratif, semblait montrer sa

robustesse. Toutefois, cette position était

critiquée par certains participants de

l’atelier.

Ainsi s’est dessinée au cours de cette

journée la contribution de l’audit interne

à la gouvernance dans le secteur public :

la recherche d’une meilleure maîtrise

des risques par la voie hiérarchique est

un moteur, mais elle ne suffit pas à

consolider les activités d’audit qui

demandent aussi à être soutenues par

diverses ressources légales, techniques

et organisationnelles et adaptées aux

différents contextes. Dans une réflexion

démocratique plus générale, le potentiel

de l’audit dans la transformation des

modes de gouvernance demeure un

domaine d’expérimentation et de

débat.

« Les bénéficesde l’audit sont d’abord

manifestes pour la chaînedes responsables hiérarchiqueset des organes de gestion. C’est

en tout cas l’opinion de lamajorité du panel »

Article paru dans le n°7 (mars 2013)de la revue « The Internal Auditor Compass »

de l’IIA Belgique.

1 « Audit interne et secteur public – Une aide à lagouvernance »

10

INTERNATIONAL


Nous assistons à la 10ème Confé-rence de l’UFAI et à ladeuxième organisée en Tuni-

sie. En 25 ans, le progrès pour l’UFAI estvisible de tous et personne ne peut lecontester : accroissement très sensibledu nombre d’instituts membres, notam-ment ceux d’Afrique ; accord de parte-nariat et de collaboration avec l’InstitutInternational « IIA » ; continuité dans lapublication de sa revue « L’AuditeurFrancophone » et les échos très favora-bles qu’elle rencontre auprès de ses lec-

teurs ; reconnaissance auprès des ins-tances internationales et notammentauprès du mouvement international dela francophonie. Tous ces éléments, fontque nous devons tous être fiers de notreappartenance à notre chère association,l’UFAI.

Ceci ne peut que nous réjouir tous, etréjouir en particulier l’initiateur fonda-teur de l’UFAI Louis Vaurs, et aussi lesautres fondateurs de l’Union. Nous leurdevons tous le progrès qu’a connu etque connaîtra encore notre association.Je ne saurai aussi oublier de remercier leprésident sortant Denis Neukomm etles autres présidents qui se sont succédéà la tête de l’UFAI, et qui ont su ajouterdes pierres à l’édifice. La particularité de la présente confé-rence est qu’elle s’organise en périodede début de la révolution dans notrepays. Cette révolution est porteuse debeaucoup d’espoir pour la démocratisa-tion du pays, l’assainissement de sesstructures et pour l’adoption des règlesde bonne gouvernance par l’ensembledes institutions de l’Etat. Il est vrai,qu’en ce début de la révolution, des dif-ficultés d’ordre politique, social et éco-nomique persistent, et sont essentielle-ment le résultat des pratiques du régimeprécédent. Je peux vous assurer que cesdifficultés ne sont que passagères, et quetrès rapidement l’intelligence et lasagesse des Tunisiens vont l’emporter etdissiper ces difficultés aidées en cela parla liberté d’expression, la transparence etla bonne gouvernance.

La Tunisie est définitivement et irréver-siblement engagée dans la voie de labonne gouvernance. La confiance quenous témoignent les pays frères et amisd’un côté, et les bailleurs de fonds inter-nationaux de l’autre, en soutenant nosprojets de développement, nous encou-rage et stimule nos efforts, pour aller auplus vite vers l’équilibre sur tous lesplans, et ensuite vers le progrès et l’ex-pansion.

En parlant de gouvernance, la questionn’a pas tardé à être affichée de façonapparente et à représenter une revendi-cation et puis un produit de la révolu-tion ; et ceci avec la création, pour la pre-mière fois dans le pays, d’un ministèrede la Gouvernance et de la Lutte Contrela Corruption. Il est certain que ceministère sera d’un appui très fort pourle renforcement de la bonne gouver-nance dans le secteur public. Des direc-tives sont données, et déjà mises enapplication, pour la création de cellulesde gouvernance dans les entreprisespubliques. Ceci a induit beaucoup d’in-térêt pour l’adoption de code d’éthiqueet la mise en place de nouveaux comitésd’audit, et pour le renforcement du rôledes comités d’audit déjà existants. Et,évidemment, ces mesures et ces actions,auxquelles s’ajoute l’émergence des pro-cessus de gestion des risques « ERM »,notamment dans le secteur financier, nemanquent pas d’impulser le développe-ment de l’audit interne dans nos insti-tutions. Et du coup, je dirais que l’auditinterne s’identifie bien à la démocratie

Extraits du discours de clôtureprononcé par Amor Souidenlors de la dixième conférencede l’UFAIHammamet – Tunisie – octobre 2012

Amor Souiden

Président d’honneur de l’ATAIet ancien président de l’UFAI


et, de plus, il en est à la fois la résultanteet le soutien.Donc, autant de lettres de noblesse enfaveur de l’audit interne, mais aussi etsurtout des responsabilités et des enga-gements accrus pour les auditeurs. Oui,on ne se trompe pas à affirmer que lepaysage général de l’audit interne enTunisie s’illumine de plus en plus, etqu’il n’y a plus comme il y en avaitauparavant, de difficultés à convaincreles managers de son utilité et de sonimportance pour la bonne marche del’entreprise. Les gouvernants et les déci-deurs sont de plus en plus acquis à lanécessité de renforcer l’efficacité de l’au-dit interne, pour garantir la pérennité del’entreprise et son développement.Donc, c’est une grande opportunité àsaisir pour la promotion de la fonction,dans la mesure où le terrain sur lequelon agit s’aplanit de plus en plus, et queles rochers cèdent la place au gazon. Lemessage est donc clair, à savoir : passerà la vitesse supérieure pour un meilleurpositionnement de l’audit interne.

En parallèle à ces facilités, se dressentdevant les auditeurs des contraintes nonnégligeables. Certaines sont inhérentesà l’environnement de l’entreprise : com-plexité et internationalisation accruesdes affaires, multiplication des risques,mutations très rapides des systèmes degestion, poussée des technologies del’information… D’autres sont directe-ment liées au métier de l’audit, quiprend d’autres dimensions en plus de sadimension classique d’évaluation ducontrôle, pour toucher à l’évaluation desprocessus de gestion des risques et degouvernement d’entreprise. Les clientsde l’audit se montrent aussi de plus enplus exigeants, et la réponse à ces exi-gences et à ces évolutions du périmètrede la fonction, ne peut être que dans lerenforcement du professionnalisme desauditeurs. D’où le rôle important quedoivent jouer les associations et les ins-tituts professionnels de l’audit interne.Ils ont, à ce titre, à prendre en charge lesauditeurs, pour en faire rapidement devéritables professionnels, à même d’as-sumer convenablement leur responsa-bilité au niveau de la troisième ligne dedéfense, et aussi, et pourquoi pas, àmême de sécuriser davantage les deuxpremières lignes, et ce, dans le cadre desmissions de conseil relevant de leursattributions.En somme, notre métier, bien normé,connaît des adaptations perpétuelles àl’environnement de l’entreprise, et les

normes qui le régissent connaissentainsi des révisions continues.Aujourd’hui, on est en train de revoir ladéfinition, qui régit la fonction depuis ledébut de ce siècle.

Un métier en perpétuelle évolution, faceà un environnement turbulent, appelleles auditeurs, toutes catégories confon-dues, à être toujours en éveil et à avoirune ferveur ardente pour la formation etle perfectionnement. Et là, s’affiche uncréneau important de l’activité des ins-tituts d’audit interne. Et je pense quenotre institut national : IIA Tunisie, ouATAI (Association Tunisienne des Audi-teurs Internes), a été à la hauteur de samission depuis sa création, il y a plus de30 ans. Cet institut a fait de la formationson axe d’activité privilégié, et il a atteintà ce sujet des résultats appréciables, avecde 20 à 25 séminaires de formation paran, en plus des actions de préparation àla certification internationale en auditinterne du « CIA », au « DPAI » et au« CISA ». D’ailleurs, à ce niveau, lesrésultats sont plus que satisfaisants, avec50 certifiés « CIA », et 25 « DPAI », aprèsseulement deux ans de la date de lance-ment de la formation y afférente, et aussiune cinquantaine de certifiés « CISA » –« CISM » – « CFSA » – « CRMA ».

Et pour élargir son champ d’action dansce domaine, et toucher d’autres cibles,au-delà des auditeurs, des accords departenariat avec l’Université et l’Admi-nistration Publique ont été conclus, etviennent rehausser le positionnement etle rayonnement de l’association enmatière d’audit, de contrôle, de gestiondes risques et de gouvernance.

L’accroissement spectaculaire du nom-bre d’adhérents, ayant dépassé aujour -

d’hui les 800 membres, est aussi un indi-cateur très significatif de l’état de santéde l’association. Et enfin, et non desmoindres, le volet d’activité relatif à l’or-ganisation de conférences, séminaires etcolloques nationaux et internationaux,qui valent à l’association l’estime de seshomologues et aussi des instancesnationales.

Ce degré fort appréciable et reconnu deprogrès, l’association le doit aux diffé-rents présidents et bureaux directeursqui se sont succédés à sa destinée. Ellele doit aussi au soutien, encouragementset assistance, dont elle a pu bénéficier dela part des instances nationales concer-nées et de son homologue et aîné l’Ins-titut Français « IFACI ».

Et vient enfin la 10ème Conférence del’UFAI, qui nous a réunis ces deux der-niers jours, pour représenter, à la fois lecouronnement et la commémoration deplus de 30 années de travail inlassable,de dévouement et de passion pour lapromotion de l’audit. Couronnement etcommémoration, voici des qualificatifslouables, auxquels les organisateurs dela Conférence ont répondu avec succès.A voir le nombre de participants, lenombre d’instituts et de pays représen-tés, la qualité de l’organisation, la valeurdes conférenciers, des modérateurs etdes présidents de séance, le succès estréellement total.

Je ne voudrais pas terminer sans prodi-guer tous mes encouragements à l’Ins-titut Sénégalais « ISACI » qui va organi-ser la prochaine conférence franco-phone de 2014. Je souhaite à cet institut,à son bureau directeur et à ses membres,plein succès pour cette conférence.

IFACI Certificationa eu le plaisir de remettrele 50e Certificatà la Direction d'audit internede Groupe Eurotunnel

Jeudi 22 novembre 2012Palais Brongniart

A cette occasion, onze Départements d’auditinterne certifiés et dix-sept Départements d’au-dit interne dont le certificat a été renouvelé ontété mis à l’honneur et nous ont apporté leurtémoignage.

« La démarche de certification nous a permis , lorsde débats forts riches et forts denses avec lesauditeurs certificateurs, de préciser les élémentsde gouvernance. Il s’agit d’une aventure fortexigeante qui est avant tout un travail

d’équipe. » Isabelle Roux-Trescases, DAI, ContrôleGénéral Economique et Financier

« La certification nous a permis de valider notre démarche méthodologique et d’enapprécier l’efficacité auprès des audités. » Romain Drappier, DAI, Réunica

« L’équipe IFACI a été complètement impliquée et nous avons eu plaisir à échangersur les bonnes pratiques et autres savoir-faire. C’est une démarche qui ne se fait

pas sans la mobilisation de tous. » Sophie Néron-Berger, DAI, Alcatel Lucent

Extrait de l’intervention de Monsieur Benoît deJuvigny, Secrétaire Général, Autorité des Mar-chés Financiers :« Je voudrais saluer la démarche, évidemment très

utile, de certification de l’IFACI. Elle montre l’intérêt des entreprises à se faireévaluer par un tiers. Elle donne l’assurance raisonnable qu’un départementd’audit interne se concentre sur les domaines d’importance majeure de l’or-ganisation.Tout ce qui peut aider à mener à bien et améliorer les activités de l’auditinterne est accueilli très favorablement du point de vue du régulateur ».

Christopher Page, DAI, Eurotunnel et Benoît Harel, Directeur, IFACI Certification

Les récipiendaires

Les invités

Farid Aractingi, Président IFACI, et quelques membresdu Conseil d’administration de l’IFACI

Quelques extraitsdes interventions filmées

Retrouvez les films sur le site internet de l’IFACI : www.ifaci.comContact : [email protected]éléphone : 01 44 70 63 00

Jacques Gounon, Président Directeur Général, Groupe Eurotunnel« La Certification de l’audit est quelque chose de très important. Parce que l’audit étant au cœur de l’en-treprise, il faudrait pouvoir auditer les auditeurs et, la meilleure formule, me semble t-il, est celle de laCertification. Cela vaut pour l’audit interne et cela vaut pour d’autres domaines importants, et nousen sommes largement pourvoyeurs . Dans ce cadre de l’audit, oui la certification, c’est le process qualité, c’est pour le Dirigeant la certitudequ’on est aux meilleures pratiques de ce métier…difficile. »

Pierre de Villiers, Major Général des Armées, Ministère de la Défense« Je suis un officier. La caractéristique d’un officier, notamment quand il est en opération, c’est l’espritde gagne. Quand nous nous sommes lancés dans cette aventure de la Certification IFACI, nous avonssouhaité gagner, nous avons souhaité être certifiés, et si possible, j’avais fixé cet objectif d’être certifiéen premier pour la fonction publique.Cette certification, c’est une grande fierté, c’est une reconnaissance, de la part des spécialistes de laqualité, du système que nous avons mis en place... Et puis, pour l’avenir, c’est aussi une chance car nousavons bien l’intention de continuer à être toujours les pionniers, si je puis m’exprimer ainsi, de l’auditinterne dans la fonction publique.Je crois que c’est aussi notre rôle de militaires que d’être des défricheurs. »

Pierre de Bausset, Secrétaire Général, EADS« La Certification IFACI nous a ouvert les yeux. Elle nous a permis de lancer un programme de redresse-ment d’une équipe d’audit interne qui, je dois le dire, n’était pas particulièrement reconnue au sein dugroupe et peut-être n’avait pas la même utilité. Et, en travaillant sur la formation et la compétence denos auditeurs, en s’assurant qu’on aille les chercher dans les bonnes strates, on a augmenté l’utilité del’audit interne. Cela lui a valu pas mal de reconnaissance et avec cette reconnaissance et une meilleurecompétence, on a aujourd’hui des auditeurs qui se replacent bien plus facilement à l’intérieur du groupe.

C’est un peu comme un bon vin qui reste long en bouche, on voit les résultats de l’investissement qui a été fait pour améliorerl’audit sur le long terme, en ayant des candidats de grande qualité à proposer à l’ensemble du groupe EADS. »

Quelques membres du Comité de Certification et de l’équipe IFACI Certification

Le cocktail

Gestion des risques et contrôle interneDe la conformité à l’analyse décisionnelle

Auteur : Frédéric CordelEditeur : Vuibert

Bien que d’inspiration ancienne, les deux « disciplines » très fortement corrélées que formentla gestion du risque et le contrôle interne, ont connu des développements théoriques et légis-latifs particulièrement significatifs depuis le début des années 2000. Si l'ouvrage laisse uneplace importante aux cadres réglementaires et aux référentiels qui les accompagnent, il sefocalise cependant sur l'aspect « pratique » de ces disciplines. Ainsi, l’ouvrage accorde unelarge place à la présentation des principales « techniques » de gestion des risques (que cesderniers soient stratégiques, opérationnels ou financiers) et du contrôle interne, dans uneapproche qui se veut à la fois comparative et critique. En particulier, l’auteur soutient que lagestion des risques, telle qu’elle est aujourd’hui entendue par la majorité des acteurs au seindes sociétés françaises (conseils, directions financières, direction des risques, autorités de régu-lation…), ne laisse que peu de places aux idées développées dans le champ de l’analyse déci-

sionnelle et de la psychologie sociale (idées largement reprises dans l’ouvrage) alors même que, comme l’affirme Daniel Lebèguedans sa préface « la gestion des risques et le contrôle des décisions sont, en un mot, une science toute humaine dont on connaît,depuis l’Antiquité, les ressorts fondamentaux : clarté des objectifs, audace, rigueur et collégialité dans leur mise en œuvre. »

Pour en savoir plus, voir le blog : http://tinyurl.com/RCblogviadeoainsi que le site internet de l'ouvrage : http://crdl1979.wix.com/riskandcontrol.

Lu pour vous

Audit interne des collectivités territorialesAuteur : Elodie Portelli1, en collaboration avec l’IFACIPréface : Didier MigaudEditeur : Editions Ellipses, collection Gestion

L’audit interne se développe de plus en plus au sein des collectivités territoriales. Sur fond decrise économique, de raréfaction des budgets mais aussi d’accroissement de leurs compé-tences, les collectivités territoriales doivent faire face à de nombreux risques qui les incitent àrechercher des outils de sécurisation de leur fonctionnement. L’audit interne apparaît alorscomme une excellente réponse à ce besoin ainsi qu’à celui d’optimiser la gestion publiquelocale. Cependant, il est encore trop souvent méconnu, ou confondu avec d’autres démarchestelles que le contrôle de gestion ou l’évaluation des politiques publiques.

Cet ouvrage a pour ambition de promouvoir l’audit interne au sein des collectivités territorialesen le définissant, en montrant son intérêt et ses spécificités par rapport au secteur privé et en

faisant bénéficier ses lecteurs de retours d’expérience. Il vient aussi combler un déficit de références bibliographiques dans cedomaine.

Il a été élaboré en étroite collaboration avec l’IFACI, et particulièrement avec le groupe professionnel « Collectivités territoriales »,présidé par Jean-Baptiste Gamas. Préfacé par Didier Migaud, Premier président de la Cour des comptes, il comprend une partieconsacrée aux fondamentaux de l’audit interne (définition, normes, méthodologie…) et une partie plus pratique, utile notammentaux collectivités et établissements publics de coopération intercommunale qui souhaitent créer un service d’audit interne.

Ouvrage de référence pour les professionnels de la gestion publique locale et les élus locaux, il offre par ailleurs une informationcomplète aux étudiants des Instituts d’Etudes Politiques et aux candidats aux concours de la fonction publique territoriale.

1 Élodie Portelli est maître de conférences associée à Sciences Po Bordeaux en gestion publique locale.Egalement ingénieur en chef territorial dans une intercommunalité, elle a exercé pendant plusieurs années

des responsabilités dans le domaine de l’audit interne des collectivités territoriales.

Lu pour vous

14




DOSSIER

Le nouveau COSO… et ses 17 principes fondateurspour un contrôle interne efficient

Le COSO 1992 est mort, vive le nouveau COSOLaurent Arnaudo

25

Plaidoyer pour des principes justes et pertinents :Comment donner du sens aux systèmes de contrôleinterne ?Béatrice Ki-Zerbo

16

Le COSO 2013 et le cadre de l’AMF ne s’excluent ni nes’opposent, ils sont complémentairesAnne Bosche-Lenoir et Raymond Marfaing

29

Le COSO 2013 : une mise à jour du référentield’origine pour mieux maîtriser les évolutionsSerge Villepelet

22

16

DOSSIER


Plaidoyer pour des principesjustes et pertinents :Comment donner du sens auxsystèmes de contrôle interne ?

La mise à jour du référentielCOSO de contrôle interne estformellement caractérisée par

l’explicitation de 17 principes complé-tés par des points d’attention et desillustrations. Cette version 2013 est doncplus précise et plus aisée à actionner.Loin d’être des « a priori » théoriques etintemporels, ces principes bénéficient deplusieurs décennies de pratiques ducontrôle interne et de gestion desrisques.

Cet article a bénéficié des échanges fruc-tueux au sein des groupes de recherchede l’IFACI ; en particulier celui qui avaitété constitué dans le cadre de la consul-tation publique lancée par le COSO en2012. Impossible de résumer ici toute larichesse de ce référentiel dont des pro-fessionnels chevronnés nous ont avouéqu’il méritait le détour. Nous vous pro-posons donc un survol orienté vers cequi nous semble être fondamental pourun contrôle interne efficace : la qualitéde l’« environnement de contrôle » et du« pilotage ». Ces composantes sontpourtant les laissées pour compte deschantiers de contrôle interne. Dans lemeilleur des cas, elles sont exaltées lorsde grandes messes suivies de plans d’ac-

tions purement formels dépourvus desens ou sans ressources adéquates. Aumoindre incident, ce vernis de façade netardera pas à se craqueler mettant ainsià mal la confiance au pouvoir de trans-formation du contrôle interne. Les fos-soyeurs du contrôle interne ne sedemanderont jamais si les fondations del’édifice pimpant qui leur était présentéétaient réellement robustes.

L’idée de recourir à des principes fonda-teurs pour une saine gestion n’est pasnouvelle. En 1916 déjà, Fayol proposait14 principes généraux d’administrationdont la plupart n’ont rien à envier à ceuxproposés par le COSO. Cet ingénieurdes mines est reconnu pour son prag-matisme. Il avait également une viséeuniverselle de ses principes qu’il propo-sait d’appliquer à l’administrationpublique.Plus proche de nous, Larry Rittenberg(2007) présentait les 20 principes duréférentiel COSO for smaller public com-panies comme un moyen de rendre plusaccessibles les fondamentaux d’uncontrôle interne efficace aux managersde sociétés cotées de taille moyenne. Ilnotait que ces principes étaient tout àfait adaptés pour les autres types d’or-ganisations. Les constats de l’ancien

président du COSO ont été suivis d’ef-fet. En effet, les 17 principes de la nou-velle version du référentiel de contrôleinterne s’inspirent visiblement de ces 20principes initiaux. Leur rédaction gagnenéanmoins en clarté et met en exergueles points d’attention. Un aperçu en estdonné dans le tableau ci-après.

Ces principes sont développés dans ledocument de référence (Framework) etillustrés dans deux documents complé-mentaires (llustrative Tools et InternalControl over External Financial Reporting). Eléments fondateurs et incontournablesde la conception, de la mise en place etdu fonctionnement de tout système decontrôle interne ayant l’ambition decontribuer à la performance d’une orga-nisation ; ces principes ont isolémentporteur de sens. Néanmoins, leur pou-voir de transformation ne s’exprimeraréellement que dans une mise en œuvreconcertée. Les principes ne sont doncpas une fin en soi, cette nouvelle éditionpermet de s’en servir pour s’assurer dela cohérence globale du système par unemise en lumière des interactions entrecomposantes. Il est d’ailleurs dommageque l’illustration sous forme de cube nerende pas mieux compte de cette inter-pénétration des composantes. C’est

Béatrice Ki-Zerbo - Directeur de la Recherche, IFACI

17

Le nouveau COSO

juin-juillet 2013 - Audit & Contrôle internes n°215

cette dynamique qui fonde l’efficacité del’ensemble du système de contrôleinterne. Comme nous le verrons, sans cemouvement d’ensemble impossible defaire jouer au contrôle interne son rôlede traduction des options de gouver-nance et de gestion des risques dansles métiers.

Dire que tous les 17 principes sontindispensables n’exclut pas une mise en

œuvre modulée selon des critères telsque :• la taille de l’entité ;• l’autonomie (groupe vs filiale) ;• la complexité des opérations ;• la maturité des systèmes de gestion

des risques et de gouvernance. Enparticulier :- l’implication des organes délibé-

rants et exécutifs ;- la formalisation des valeurs ;

- la qualité du processus de défini-tion des objectifs et de l’appétencepour les risques ;

• la compétence des collaborateurs (quidéterminera par exemple les modali-tés et les objectifs de supervision).

Comme pour l’ensemble de cette miseà jour, la nouveauté se découvre dansune lecture attentive. Si ces trois objec-tifs sont connus, le COSO 2013 en étend

Environnement de contrôle 1. L'organisation démontre son engagement en faveur de l'intégrité et de valeurséthiques.

2. Le conseil d’administration fait preuve d'indépendance vis-à-vis du management. Ilsurveille la mise en place et le bon fonctionnement du système de contrôle interne.

3. La direction, agissant sous la surveillance du conseil d’administration, définit lesstructures, les rattachements, ainsi que les pouvoirs et les responsabilités appropriéspour atteindre les objectifs.

4. L'organisation démontre son engagement à attirer, former et fidéliser des collabora-teurs compétents conformément aux objectifs.

5. L'organisation instaure pour chacun un devoir de rendre compte de ses responsabili-tés en matière de contrôle interne.

Evaluation des risques 6. L'organisation spécifie les objectifs de façon suffisamment claire pour permettre l'identifi-cation et l'évaluation des risques associés aux objectifs.

7. L'organisation identifie les risques associés à la réalisation de ses objectifs dans l'ensemblede son périmètre de responsabilité et elle procède à leur analyse de façon à déterminerles modalités de gestion des risques appropriées.

8. L'organisation intègre le risque de fraude dans son évaluation des risques susceptibles decompromettre la réalisation des objectifs.

9. L'organisation identifie et évalue les changements qui pourraient avoir un impact signifi-catif sur le système de contrôle interne.

Activités de contrôle 10. L'organisation sélectionne et développe les activités de contrôle qui contribuent àramener à des niveaux acceptables les risques associés à la réalisation des objectifs.

11. L'organisation sélectionne et développe des activités de contrôle général en matière desystème d’information pour faciliter la réalisation des objectifs.

12. L'organisation met en place les activités de contrôle par le biais de directives qui précisentles objectifs poursuivis, et de procédures qui mettent en œuvre ces directives.

Information etcommunication

13. L'organisation obtient ou génère puis utilise des informations pertinentes et de qualitépour faciliter le fonctionnement des autres composantes du contrôle interne.

14. L'organisation communique en interne les informations nécessaires au bon fonctionne-ment des autres composantes du contrôle interne, notamment en ce qui concerne lesobjectifs et les responsabilités associés au contrôle interne.

15. L'organisation communique avec les tiers au sujet des facteurs qui affectent le bon fonc-tionnement des autres composantes du contrôle interne.

Pilotage 16. L'organisation sélectionne, met au point et réalise des évaluations continues et/ou ponc-tuelles afin de vérifier si les composantes du contrôle interne sont bien mises en place etfonctionnent.

17. L'organisation évalue et communique les faiblesses de contrôle interne en tempsvoulu aux responsables des mesures correctrices, notamment à la direction générale et auconseil d’administration.

Aperçu des 17 principes proposés par le COSO (Traduction non officielle)

18

DOSSIER


la portée et nous alerte sur leur imbrica-tion : • Les objectifs opérationnels concer-

nent l'efficacité et l'efficience des opé-rations. Au-delà de la performanceopérationnelle et financière, le COSOy inclut explicitement la protectiondes actifs.

• Les objectifs de reporting sont spéci-fiés : il s’agit à la fois de la communi-cation interne et externe d’informa-tions financières et extra-financières.Outre l’élargissement du champ, ilnous est recommandé de ne pas nouscantonner à la fiabilité mais d’êtreégalement attentif aux attentes desdestinataires internes et externesnotamment en termes de délais et detransparence.

• Les objectifs de conformité pren-nent une place de plus en en impor-tante du fait de la multiplication deslois et règlements applicables auxorganisations. Ils sont sous-tenduspar les deux autres catégories d’objec-tifs et vice-versa.

Selon les organisations, la place accor-dée à chacune des trois catégories d’ob-jectifs pourra également être modulée.Cet impératif de modulation montre queles bénéfices de cette nouvelle versionrésultent nécessairement d’une appro-priation fine et personnalisée de soncontenu qu’il est impossible de résumeren quelques pages.

Les éléments proposés ci-dessous sontà prendre comme autant de points dedépart possibles de cette appropriation.

L’environnement de contrôle

Selon le principe 1, intégrité et valeurséthiques sont fixées par les instancesdirigeantes, elles-mêmes exemplaires enla matière. Pour être comprises à tousles niveaux, elles doivent être explicitéesdans l’organisation mais également auxprestataires et aux partenaires. Leniveau d’adhésion à ces valeurs est véri-fié et des décisions effectivement misesen œuvre en cas d’écart.

Le principe 2 met l’accent sur l’indé-pendance du conseil d’administra-tion vis-à-vis du management. Pour cefaire, le conseil dispose-t-il des compé-tences et de l’expertise adéquate ? Lesadministrateurs sont-ils effectivementconscients de leurs responsabilités enmatière de contrôle interne ? Exercent-ils une surveillance appropriée à chaquephase du processus de contrôle interne(conception, mise en œuvre, pilotage)?Le référentiel aide à trouver des élé-ments de réponses à ces questions quisont loin d’être binaires. Ainsi, desexemples d’implication du conseildans le suivi de chaque composantesont donnés.

Le principe 3 rappelle ce qui peut paraî-tre être le B.A-BA du contrôle interne :Définir clairement les pouvoirs et res-ponsabilités, assurer la séparation destâches notamment à travers le systèmed’information. Pourtant, cette évidenceest loin d’être une réalité dans toutesles organisations. Si tant est que larépartition formelle des pouvoirs et res-ponsabilités a été effectuée à chaqueéchelon de la ligne hiérarchique, il res-tera à s’assurer qu’ils sont tout aussi clai-rement définis au niveau des différentesinstances de gouvernance (comitésémanations du conseil, comités mana-gériaux), dans les relations entre chaqueentité légale, dans le réseau de distribu-tion et avec les prestataires. De plus,pour reprendre les mots de Fayol, enanglais dans son texte, la définition desrôles n’aura de sens qu’avec « the rightman in the right place ».

Ainsi le principe 4 est clairement lié auprincipe précédent. Il présente unevision dynamique d’un élément clé del’efficacité de toute organisation, la priseen compte des hommes et des femmesqui la font fonctionner. Il ne s’agit passeulement d’employer des ressourcesqui seraient à disposition et inertes. Ilfaut pouvoir être en capacité d’attirer,de développer et de maintenir descompétences en lien avec les objectifsde l’organisation. Cette gestion straté-

gique des ressources s’appuie bien sûrsur des politiques et des procéduresmais celles-ci ne doivent pas empêchertoute réactivité notamment par rapportaux besoins futurs. Dans ses développements sur l’évalua-tion et la rémunération, ce principe estégalement relié au principe 1. Ils sontempreints des travaux sur la justiceorganisationnelle qui selon Langevin etMendoza (2013), favorise la satisfactionau travail, l’adhésion à la politique del’entreprise, la résolution des conflits etles comportements civiques. Ces troisderniers objectifs sont explicitement l’undes enjeux des composantes « environ-nement de contrôle » et « pilotage » duCOSO (2013). Classiquement, la justiceorganisationnelle s’entend selon troisapproches :• la justice distributive qui s’intéresse à

l’explicitation des critères d’allocationdes ressources et des récompenses ;

• la justice procédurale qui met l’accentsur les conditions de cette allocation.Est-elle :- pertinente (en temps opportun,

individualisée) ?- sans biais ?- fondée sur des informations fia-

bles ?- révisable (possibilité de faire appel

et de corriger les injustices) ?- équilibrée (prise en compte de

toutes les parties concernées) ?- conforme à des valeurs éthiques et

morales ?• la justice interactionnelle qui interroge

la nature des relations interperson-nelles pendant la mise en œuvre desprocédures.

Il n’est pas inutile de rappeler l’impor-tance de la beauté du geste dans desorganisations qui ont tendance à réduireleur fonctionnement à des séquences deprocédures et subissent donc une recru-descence du mal-être au travail.

Le principe 5 sera également difficile àappliquer sans un minimum de justiceorganisationnelle favorisant une adhé-sion au devoir de rendre compte. Il est

19

Le nouveau COSO


relié aux autres principes de l’environ-nement de contrôle (valeurs de réfé-rence et propice à la confiance, instancesdirigeantes jouant leur rôle, responsabi-lités clairement définies, compétences etpouvoir de rendre compte). Il s’appuieégalement sur la robustesse des compo-santes « information et communica-tion » et « pilotage ». Ce principe reflètela maturité croissante des systèmes decontrôle interne qui ne se limitent plusà la maîtrise des activités. En tant quesystème de pilotage de la performance,le contrôle interne nécessite une infor-mation ascendante qui avait peut-êtreété un peu passée sous silence sous lepoids du tone at the top. Sans devoir derendre compte, impossible également dediriger des entreprises de plus en plusétendues, soumises à la pression de par-ties prenantes qui ne cessent de clamerleur droit à l’information. Une organisa-tion qui n’aura pas su anticiper cesbesoins pourra être mise à mal. Ledevoir de rendre compte ne sera béné-fique que s’il ne réduit pas les acteurs àun statut de simples émetteurs d’indica-teurs. C’est seulement s’ils sont respon-sabilisés et sûrs que leurs messagesseront suivis d’effets, que les acteurspourront véritablement tirer profit de cemécanisme en le mettant au service del’amélioration continue.

Evaluation des risques

C’est l’occasion ici de rappeler que cettenouvelle publication n’est pas unCOSO 3 qui viendrait remplacer le réfé-rentiel « Entreprise Risk Management »,plus connu en tant que COSO 2. Unepartie de la publication de 2013 est d’ail-leurs consacrée à la complémentaritéentre les deux référentiels. Les objectifset les seuils de tolérance définis par lemanagement dans le cadre du systèmede gestion des risques sont des donnéesd’entrée du système de contrôle interne.Si le lien avec la composante « évalua-tion des risques » semble être le plusnaturel, l’articulation avec le système degestion des risques permet de réussir lamodulation des principes évoquée au

début de cet article. Elle détermine l’ef-ficience du système de contrôle internepar la prise en compte d’indicateurs deperformance opérationnelle et finan-cière appropriés et la correcte allocationdes ressources.

Le référentiel de contrôle interne envi-sage les risques sous l’angle desmenaces à l’atteinte des objectifs ; cen’est pas pour autant qu’il ignore le faitque les organisations doivent égalementsaisir des opportunités. Néanmoinscelles-ci ne sont pas directement géréespar le système de contrôle interne.Elles doivent d’abord êtreanalysées dans le cadredu système de ges-tion des risques. Sielles sont confir-mées par lesdirectives desinstances diri-geantes, ellesd e v i e n n e n texplicitement desobjectifs dont lecontrôle internecontribuera à la réalisation.L’un des atouts de l’édition de2013 est de clarifier les limites du sys-tème de contrôle interne pour mieuxl’actionner.Outre les étapes classiques d’identifica-tion et d’analyse des risques pour lamise en œuvre des mesures de traite-ment appropriés, la nouvelle formula-tion de la composante « évaluation desrisques » met clairement l’accent sur lerisque de fraude (principe 8) et la néces-sité d’adapter le système aux change-ments significatifs (principe 9). S’il estassez classique de s’intéresser aux chan-gements significatifs dans l’environne-ment externe comme menaces poten-tielles, il s’agit d’être également vigilantsface à des changements de businessmodel ou de dirigeants.

Activités de contrôle

Une lecture rapide des principes 10 à 12pourrait laisser penser que c’est la partie

la moins innovante du nouveau référen-tiel. Sans doute parce qu’elle est inhé-rente à toute forme d’organisation. Etpourtant, cette approche pourra égale-ment être matière à progrès. Par exem-ple, ces activités visent-elles un niveauacceptable des risques ? Ces seuils sont-ils clairement définis dans toutes lesorganisations ? Dans l’affirmative lesont-ils par les instances appropriées (cf.principe 2 et 3) ? Veille-t-on à retenirune combinaison optimale des diffé-rentes catégories de contrôle (automa-tiques vs. manuels / prévention vs.détection) au regard des risques à maî-

triser ?

Le principe 11 rap-pelle des élémentsd’une bonne gou-vernance des sys-tèmes d’informa-tion. Il invite lesprofessionnels ducontrôle et de

l’audit internes às’intéresser à des

domaines qui leur sontmoins familiers tels que l’in-

frastructure ou la sécurité. Ils consti-tuent pourtant des zones à risques par-ticuliers à l’ère de l’informatique mobileet du cloud computing.

Le principe 12 permet d’éviter des acti-vités de contrôle dépourvues de sens. Ilfait le lien avec les composantes « envi-ronnement de contrôle » (il est questionde directives, de responsabilités et dedevoir de rendre compte, de personnelcompétent, d’actions correctives),« information et communication »(indispensables pour une mise en œuvreen temps opportun) et bien sûr de« pilotage » (avec l’évaluation pério-dique des activités de contrôle et leurmise à jour éventuelle).

Information et communication

Désormais, les technologies permettentde générer et de diffuser des milliers dedonnées en interne ou en externe.

« L’un des atoutsde l’édition de 2013

est de clarifier les limitesdu système de contrôle interne

pour mieux l’actionner »

20

DOSSIER


Déterminer celles qui sont vraimentpertinentes ; y accéder en toute légalitéet les traiter de manière efficienteconstitue un enjeu de gouvernance.

Le principe 14 permet d’organiser lesystème de contrôle interne selon lesens donné au niveau de l’environne-ment de contrôle et en fonction dessignaux des composantes « évaluationdes risques » ; « activités de contrôle »et « pilotage ». Sans communicationinterne adéquate (en termes de délais,de destinataires, de contenu) difficiled’assumer ses responsabilités enmatière de contrôle interne. Deuxcanaux de communication sont particu-lièrement détaillés : celle qui concerne leconseil d’administration et celle qui peutêtre mobilisée dans des circonstancesexceptionnelles (par exemple les lignesd’alerte éthique).

Le principe 15 concernant la communi-cation externe tient compte de la mul-tiplication des interlocuteurs externes(actionnaires, analystes, régulateurs,clients, fournisseurs, associations…)ayant parfois des centres d’intérêt diffé-rents. Au-delà, de la maîtrise des mes-sages de l’organisation notammentconcernant la fiabilité du contrôleinterne, nous sommes invités à contri-buer à une exploitation efficace de lacommunication entrante. Il s’agira parexemple de s’assurer de l’adéquationdes moyens, de la conformité des pro-cessus ou de la pertinence des données.

Pilotage

Le principe 16 a le plus grand nombrede points d’attention. Ils peuvent êtrerésumés par des mots clés tels que : • équilibre (entre évaluations perma-nentes et périodiques). En pratiquecette complémentarité pourra se fon-der sur le modèle des trois lignes dedéfense ;

• adaptation (à l’état du système, aurythme des changements dans l’envi-ronnement et dans les métiers) ;

• intégration (des évaluations perma-

nentes dans les processus métiers) ;• flexibilité (périmètre et rythme des

évaluations périodiques) ;• objectivité (des évaluations pério-

diques) ;• compétence. Ainsi, la description des

rôles et responsabilités des auditeursinternes est conforme aux normesprofessionnelles IIA.

Le principe 17 est celui de la boucle deretour. Le mécanisme n’est pas nouveaumais la mise à jour nous invite à dépas-ser une démarche incrémentale pourune vision globale. En effet, le manage-ment et le conseil d’administration doi-vent disposer de l’information adéquatepour décider des actions correctives entemps opportun et suivre leur mise enœuvre.

De plus, les principes précédents et enparticuliers ceux de l’environnement decontrôle n’ont de sens que s’ils sont sur-veillés et que des actions sont effecti-vement mises en œuvre en casd’écart (modification de la cible ou duplan de maîtrise).

* **

En conclusion, l’idée de s’appuyer surdes principes pour la bonne marched’une organisation n’est pas nouvelle.Néanmoins l’originalité de la proposi-tion du COSO vient de l’articulationdynamique de plusieurs axes. Il permetainsi de viser, avec la même approche,plusieurs objectifs et de gérer leur inter-connexion. Il est plus aisé d’identifier lesdomaines sous contrôle et les zones defaiblesses pour prioriser les actions.Nous avons pu mettre en évidence desrésonnances entre principes et compo-santes. Toutes les composantes ressor-tent grandies de cette mise à jour. Cellesrelatives à l’évaluation des risques et auxactivités de contrôle bénéficient desavancées de l’ERM. Les formulations etillustrations des trois autres compo-santes devraient en faciliter l’adoption.

Les rédacteurs ont réussi le pari d’êtresuffisamment générique pour une utili-sation dans différents contextes tout endonnant plusieurs pistes pour ledéploiement de systèmes de contrôleinterne justes. Bien que tombée endésuétude nous préférons nous référerà cette notion de justice plutôt que d’in-voquer « le bon sens ». En effet, ellerecouvre plusieurs caractéristiques d’unsystème de contrôle interne efficace quise doit d’être : raisonné, intègre, adé-quat, raisonnable, pertinent, exact, pré-cis…

Le document n’intègre sans doute pasassez une vision plus positive des per-sonnes qui ne sont pas tous des frau-deurs en devenir. Le jugement dumanagement est clairement mis enavant mais un lecteur non avisé ne serapas forcément sensibilisé aux variablesculturelles (et non pas uniquementstructurelles) du contrôle interne. Il estpourtant indispensable d’avoirconscience de ces aspérités pour ne passe bercer de l’illusion d’un contrôleinterne sans failles (cf. Atwood et al,2012).

Bref, un vaste programme pour lesmanagers, une opportunité d’innovationpour les professionnels de l’audit et ducontrôle internes, et de nouveaux chan-tiers pour la recherche à commencer parl’actualisation de nos publications sur lecontrôle interne. Je pense en particulieraux cahiers de la recherche sur « La créa-tion valeur par le contrôle interne », « Desclés pour la mise en œuvre et l’optimisationdu contrôle interne », « Les variables cultu-relles du contrôle interne » accessibles surnotre site internet mais qui mériterontd’être revisités pour profiter des propo-sitions particulièrement intéressantes duCOSO.

21

Le nouveau COSO


Références bibliographiques

• Atwood, B., Raiborn C. et Butler J. 2012. The illusion of internal controls. Strategic Finance (October): 30-37

• COSO. 2006. Internal Control over Financial Reporting – Guidance for Smaller Public Companies

• COSO. 2013. Internal Control – Integrated Framework, llustrative Tools for Assessing Effectiveness of a System ofInternal Control and the Internal Control over External Financial Reporting (ICEFR): A Compendium of Approachesand examples. Traduction à paraître

• Dumez H. (dir) 2008. Rendre des comptes : nouvelle exigence sociétale, PRESAJE, Dalloz

• Fayol H. 1962. Administration industrielle et générale – Prévoyance, organisation, commandement,coordination, contrôle, Dunod 151p

• IFACI et PWC. 2005. Le management des risques de l’entreprise. Editions Eyrolles. Traduction de Entreprise RiskManagement publié en 2004 par le COSO

• Langevin P. et Carla M. 2013. La justice : un revenant au pays du contrôle ? Revue Comptabilité Contrôle Audit,tome 19, vol.1, pp 33-58

• Rittenberg, L. Martens E. et. Landes C. 2007. Internal control guidance: Not just a small matter. Journal ofAccountancy (March): 46-50

• Simons R. 1994. Levers of organization design: How managers use accountability systems for greater performanceand commitment, Harvard Business Press

• Tysiac, K. 2012. Internal control revisited. Prominent COSO officials discuss proposed updates to framework. Journalof Accountancy (March): 24-29

22

DOSSIER


Le nouveau COSO

Louis Vaurs : Le COSO 1 sur le contrôleinterne vient de faire l’objet d’une mise àjour publiée le 14 mai 2013 aux Etats-Unis.Pouvez-vous indiquer à nos lecteurs les rai-sons qui ont poussé le Committee ofSponsoring Organisations à procéder àcette mise à jour :• S’agit-il d’une simple mise à jour oud’une refonte ?

• De quels éléments se compose le nouveaupackage ?

• Quelles en sont les principales nouveau-tés ?

Serge Villepelet : Il s’agit en effetessentiellement d’une mise à jour plutôtque d’une refonte. Notamment, la défi-nition, les composantes et les conceptsclés restent les mêmes que ceux du réfé-rentiel d’origine qui date de 1992. Ceciétant, il est nécessaire de reconnaîtrel’impact des évolutions de ces 20 der-nières années en matière de technologie(par exemple : la cyber criminalité), d’ex-ternalisation, d’attentes plus fortes enmatière de transparence, et bien d’au-tres. Toutes ces évolutions nécessitentplus d’agilité et de « résilience » de lapart des entreprises pour faire face à detels enjeux.

C’est par le biais de 17 principes struc-turants que le COSO 2013 définit leséléments essentiels en matière decontrôle interne pour aider les organisa-tions – quels que soient leur taille ouleur domaine d’activité – à faire facedans un monde qui devient de plus enplus complexe.

Les principales nouveautés sont donc :1. L’élargissement du domaine d’appli-

cation au-delà du reporting financier(par ex. : responsabilité sociale etenvironnementale).

2. Le renforcement des attentes enmatière de gouvernance (par ex. : lesrôles des comités et l’alignementavec le business model).

3. La gestion des collaborateurs clés aucontrôle interne (par ex. : la directiongénérale).

4. L’articulation des « 3 lignes dedéfense » dans l’organisation (àsavoir les opérationnels, les fonc-tions support et l’audit interne).

5. Le rapprochement entre risque, per-formance et rémunération (notam-ment l’un des principes portant surla responsabilisation pour lecontrôle interne).

6. L’articulation du « tone at the top »avec les comportements à traversl’entreprise (« tone in the middle »).

7. La prise en compte des sous-trai-

Les piliers du nouveau COSO 2013 restent les mêmes que ceux du COSO 1992.Cependant, les évolutions des vingt dernières années ont nécessité des prises encompte d’exigences nouvelles à la hauteur des nouveaux enjeux. Le COSO 2013 ras-semble des perspectives plus larges que celles des organismes fondateurs qui sontdes organisations comptables et financières ; sa vocation est bien d’étendre sonapplication au-delà de ce qui est comptable et financier.

Le COSO 2013 : une mise à jourdu référentiel d’origine pourmieux maîtriser les évolutions

Serge Villepelet

Président, PwC France

23

Le nouveau COSO


tants / autres intervenants clés (parex. : leur adhésion au code deconduite, respect des contrôles au-delà du reporting financier).

8. L’exigence de l’adaptabilité et l’adé-quation du dispositif par rapport àl’évolution de l’entreprise (telles quede nouveaux processus, rôles, struc-tures, SI, CSP, périmètre d’activité,etc.).

L. V. :Depuis toujours, PwC est directementassocié à l’élaboration de ce référentiel. Quelest plus précisément son rôle ?

S. V. : En effet, le COSO nous avait sol-licité pour écrire le référentiel sur lecontrôle interne de 1992 ainsi que l’En-terprise Risk Management en 2004 et bonnombre d’autres éléments de « thoughtleadership » que nous avons élaboréensemble. Nous avons une relation detravail continue fondée sur un échangeen continu par rapport aux évolutionspour pouvoir ensemble livrer au marchédes réflexions pertinentes et des réfé-rentiels qui apportent de la valeur auxentreprises. C’est ainsi que nous tra-vaillons depuis toujours étroitementavec le COSO.

L. V. : Le Committee of SponsoringOrganisations est composé essentiellementd’organisations comptables et financièresalors que le cadre de référence de l’AMF aété élaboré avec un groupe de Place oùl’AFEP / MEDEF ont joué un rôle nonnégligeable. N’est-ce pas un handicap pourle COSO qui a voulu élaborer un référentielde contrôle interne opérationnel ?

S. V. : Le COSO rassemble des perspec-tives bien plus larges que celles de cesorganismes fondateurs qui sont, certes,des organisations comptables et finan-cières (pour rappel : American Institute ofCertified Public Accountants, AmericanAccounting Association, Financial Execu-tives International, Institute of InternalAuditors, et Institute of ManagementAccountants).

Au cours de ce projet d’élaboration duréférentiel COSO 2013, le COSO aobtenu l’apport de bien d’autres :1) au début du projet, une enquête a

été lancée depuis le site du COSO,annoncé par divers communiquésde presse, et collectant plus de 700réponses à travers le monde ; au-delà des 35 % de voies issues dumonde comptable et financier, lesréponses provenaient largement desfonctions de la gestion de risques, dela conformité, des opérations, de l’IT,de la RSE, et d’autres ;

2) une consultation publique sur leréférentiel recueillant plus de 200réponses ;

3) puis, une dernière consultationpublique portant sur l’ensemble despublications COSO 2013 recueillantencore une bonne cinquantaine deréponses, avec un découpage démo-graphique similaire.

Le COSO 2013 a donc bien pour voca-tion d’étendre son application au-delàde ce qui est comptable et financier.

L. V. : L’AMF a élaboré deux cadres de réfé-rence de contrôle interne, l’un pour les socié-tés d’une certaine importance, l’autre pourles valeurs moyennes et petites. A qui plusparticulièrement le COSO 1 nouveaus’adresse-t-il ?

S. V. : Le COSO 1 nouveau intègre cesdeux visions. Il met à jour non seule-ment le référentiel de 1992 mais aussicelui de 2006 « Guidance for SmallerPublic Companies » moins connu enFrance car il n’avait pas été traduit enlangue française. Le COSO 2013 vientdonc remplacer ces deux documents caril s’appuie en premier lieu sur des prin-cipes applicables à toute taille d’organi-sation, et en second lieu met en avantdes spécificités particulières aux pluspetites structures à travers le référentiel,ses approches et ses exemples.

L. V. : Le COSO 1 nouveau n’est pas un

COSO 3. Il ne remplace pas non plus leCOSO 2 qui est consacré au managementdes risques de l’entreprise. Est-il envisagétoutefois un toilettage du COSO 2 ?

S. V. : Une révision du référentiel portantsur l’ERM n’est pas envisagée à ce stade.A cet effet, deux sujets ont été longue-ment débattus :1) L’intégration CI et ERM, mais le

marché semblait globalement ne pasvouloir un amalgame des deuxconcepts. Le contrôle interne estdéfini comme étant une sous-partiede l’ERM (élaboré en annexe G duréférentiel COSO 2013).

2) La mise à jour en parallèle du réfé-rentiel ERM, mais son contenu etson articulation avec le contrôleinterne, en particulier le COSO2013, sont vus comme étant toujoursvalables aujourd’hui. Le COSO 2013intègre toutefois les éléments duréférentiel ERM de 2004 sur lessujets pertinents au contrôle interne.

Le COSO continue donc à apporter desréflexions sur ces sujets, mais davantageen matière d’éclairages sur la pratiqueque sur les fondements des référentielsde 2004 et 2013 à ce stade.

24

DOSSIER


Auditeurs internes vscommissaires aux comptes

L. V. : La coordination des travaux entreauditeurs internes et commissaires auxcomptes prévue par les normes de l’IIAs’avère indispensable. Comment concrète-ment cette coordination s’opère-t-elle sur leterrain ?

S. V. : Cette coordination passe par unegrande transparence mutuelle de cesdeux instances sur la nature et le péri-mètre de leurs travaux. Il est fondamen-tal que les commissaires aux comptesdisposent d’une vision précise des tra-vaux réalisés par l’audit interne quiconcernent la revue du contrôle internecomptable et financier.

L. V. : Comment, selon vous, cette coordina-tion devrait-elle s’organiser ?

S. V. : J’identifie immédiatement les élé-ments suivants : échanges sur le pland’audit interne et externe, organisationde rendez-vous réguliers de partaged’information, transmission des rap-ports d’audit qui concernent le contrôleinterne.

Au delà de ces éléments, il est évidentque le comité d’audit qui est en étroiterelation avec les commissaires auxcomptes et les auditeurs internes a unrôle majeur à jouer pour encourager etfaciliter les échanges. Ces comités d’au-dit seront d’ailleurs les premiers bénéfi-ciaires d’une communication accrueentre ces deux instances de contrôle carils en retireront une vision beaucoupplus intégrée de la gestion des risquesde l’entreprise.

Enfin, les opérationnels eux aussi béné-ficieront d’une meilleure coordinationentre les commissaires aux comptes etl’audit interne en évitant que des mis-sions similaires soient réalisées par lesdeux organes de contrôle.

L. V. : Quelles sont les conditions qui pour-raient permettre aux CAC de s’appuyer surles travaux des auditeurs internes ?

S. V. : Tout d’abord il faut bien évidem-ment que les sujets d’audit aient portésur des thématiques qui apporteront duconfort au CAC pour sa mission. Eneffet, souvent une part importante destravaux des auditeurs internes porte surdes processus très opérationnels, del’amélioration de processus, des duesdiligences…

Il faut ensuite que l’auditinterne démontre uneforte indépendancevis-à-vis du mana-gement et pourcela il faut s’at-tacher à com-prendre quellessont ses lignesréelles de repor-ting et d’influence.

Enfin, il faut avoir unecertaine assurance quant à laqualité des travaux produits par l’auditinterne et pour cela une revue de leurorganisation, outils et livrables est unefaçon simple de se constituer une opi-nion.

Sous-traitance de l’auditinterne

L. V. : Avant les grands scandales compta-bles et financiers de la fin des années 90 etdes premières années 2000, l’externalisationde l’audit interne était en vogue aux Etats-Unis mais avait peu touché la France. Onparle actuellement davantage de co-sour-cing. Comment voit-on chez PwC la coopé-ration avec les services d’audit interne ?

S. V. : La cotraitance est quasimentdevenue une nécessité pour l’auditinterne. En effet, les processus des entreprises sesont considérablement complexifiés ces

dernières années sous l’impulsion denouvelles réglementations, le déploie-ment de nouveaux outils informatiqueset l’internationalisation des implanta-tions géographiques.

Pour que l’audit interne puisse livrer destravaux de qualité – à savoir une assu-rance raisonnable sur les processusaudités mais également des éléments debenchmark et des idées pour améliorer lefonctionnement des processus – ildevient quasiment impossible de se pas-ser d’experts pour réaliser les audits

internes. Force est de consta-ter qu’il est très difficile

pour les départe-ments d’auditinterne de main-tenir des compé-tences spéciali-sées et de trèshaut niveau dans

tous les domaines(par ex. : valorisa-

tion, modélisation,technologie, etc.). Néan-

moins, la présence des audi-teurs internes reste une nécessité fortecar ceux-ci sont garants de la méthodo-logie d’audit, connaissent les enjeux del’entreprise, les contingences politiqueset peuvent assurer la mise en perspec-tive et la transversalisation des conclu-sions.

Alors oui, il faut maintenant penser à lacotraitance tout en disposant d’undépartement d’audit interne senior etsponsorisé par la direction générale !

Pour les sociétés de tailles inférieures leproblème est différent : la sous-traitancereste un modèle bien adapté car il per-met à l’entreprise de disposer d’audi-teurs internes professionnels avec desstructures d’équipe adaptées à chaquemission, incluant les bons experts.

« Il devient quasimentimpossible de se passer

d’experts pour réaliser lesaudits internes »

Voici une phrase bien connue quel’on proclame lors de l’avène-ment d’un nouveau monarque.

C’est exactement ce qui nous arrive dansle royaume du contrôle et de l’auditinternes car, depuis quelque temps,nous avons appris que notre Grand Roi,le COSO 92, se portait mal et allait toutdoucement se retirer, pour mourir le 15décembre 2014. Nous allons donc per-dre notre référence, notre roi qui régnaitdepuis plus de 20 ans. Et pourtant, laplupart de ses sujets ne semblent pas sitristes…

Il est vrai qu’il a fait son temps, ce réfé-rentiel du contrôle interne. Envisagé dès1985 par « The Committee of SponsoringOrganizations of the Treadway Commission(COSO) », il ne fut publié qu’en 1992. Acette époque, il ne fut utilisé, en France,que par un certain nombre de grandsgroupes présents à l’international. Ilgagna réellement ses lettres de noblesseavec l’arrivée du Sarbanes-Oxley Act etde la Loi de Sécurité Financière, dans lesannées 2000. C’est alors devenu le réfé-rentiel incontournable, que de nom-breuses entreprises ont souhaité suivreet mettre en avant dans leur documentde référence.On a bien essayé de lui redonner unpetit coup de jeune à partir de 2006, avecla publication de deux documents, maisaujourd’hui, il est sous respiration arti-ficielle.

Le Coso 1992 est mort, vive leCoso 2013

Comme les choses sont toujours bienfaites dans le beau royaume du contrôle

et de l’audit internes, le conseil duCOSO a déjà identifié et même présentéson successeur : le fabuleux COSO 2013.Il est tout jeune et a beaucoup debonnes idées. Il est né le 14 mai 2013.

Pour tous ceux qui ont mis en place leCOSO – version 1992 – dans leur entre-prise, il y a eu de vrais changements. Ceréférentiel a permis de franchir uneétape supplémentaire et renforcer lesdispositifs existants. Il nous a donné uncadre et surtout, il nous a conforté surles directions à prendre en matière decontrôle interne :• en mettant des mots derrière des

contrôles que nous avions déjà iden-tifiés, le COSO a apporté une struc-ture à nos matrices de risques et decontrôles existants ;

• en identifiant des activités decontrôles que nous souhaitionsdéployer dans nos entreprises maispour lesquelles nous avions besoind’un soutien et d’une certaine crédi-bilité auprès des opérationnels et desdirigeants. Le fait de montrer leur

25

Le nouveau COSO


Le COSO 1992 a fait son temps. Il sera remplacé par le COSO 2013 à la fin de l’année2014. Reconnaissons tout de même que le COSO 1992 a permis de franchir uneétape supplémentaire et de renforcer les dispositifs existants ; il nous a confortéssur les directions à prendre en matière de contrôle interne ; il a permis de s’attaqueraux vrais sujets. L’objectif du COSO 2013 est de réduire les risques, accroître la confor-mité aux lois, politiques et procédures et renforcer les systèmes de contrôle interne.C’est un beau programme.

Laurent Arnaudo

Senior vice-président – audit internegroupe, Sodexo

Le COSO 1992 est mort,vive le nouveau COSO

26

DOSSIER


existence dans le COSO nous per-mettait de prouver qu’il s’agissait desmeilleures pratiques.

Avant l’arrivée du COSO, de nom-breuses personnes, dans nos sociétés,avaient une vision assez limitée ducontrôle interne : il s’agissait des rappro-chements bancaires, des inventairesphysiques, de la séparation des tâches,des procédures, etc., et plus générale-ment de tout ce qui était formel et relatifau domaine de la comptabilité et de lafinance. Il s’agissait principalement desactivités de contrôles. Les auditeurs sebattaient pour démontrer que lecontrôle interne était bien plus large quecela. Tous les éléments informels, endehors du champ de la comptabilité,étaient malheureusement bien souventoubliés. Ces éléments sont, bienentendu, les plus difficiles à appréhen-der et à déployer. Expliquer, en réunionde clôture, que le fait de travailler laporte ouverte crée un bon environne-ment de contrôle n’est pas toujours évi-dent. Ceux qui ont essayé sont sansdoute passés pour des extra-terrestres,jusque dans les années 2000. Et si on lesvoyait, le vendredi soir dans les couloirs,en train de tester ces contrôles, ils pas-saient pour des fous.

Le COSO 1992, nous a vraiment permisde mettre sur la table les vrais sujets quenous avions du mal à aborder dans lepassé :• le mode de rémunération des diri-

geants et la pression sur les résultats,• le rôle du conseil d’administration,• l’organisation des structures de la

société,

• les mesures disciplinaires en cas denon-respect des politiques et procé-dures du groupe,

• le système de remonté des incidents,• le processus d’identification et d’éva-

luation des risques,• etc.

C’est surtout pour ceux qui devaient semettre en conformité avec la Loi Sar-banes-Oxley, dans les années 2006, quele référentiel du COSO a été d’unegrande aide. L’exercice de conformité aété réalisé en large partie grâce à la miseen place de ce document. Dans lesannées 2006, nous avions à l’IFACImonté un groupe de travail SOX. L’ob-jectif, pour plusieurs entreprises fran-çaises concernées par la loi américaine,était de discuter des pratiques et d’iden-tifier des positions communes. LeCOSO était un sujet très souvent abordédans ce groupe de travail car de nom-breuses entreprises ne comprenaientpas comment le mettre en œuvreconcrètement.

Nos discussions portaient principale-ment sur l’environnement de contrôle etla gestion des risques, qui étaient lescomposantes les plus complexes àappréhender. Certains points étaientfranchement difficiles à imposer à nossociétés qui se demandaient pourquoinous allions dans ces activités, si éloi-gnées de notre périmètre de travail.Nous étions, en fait, dans le cœur denotre métier.

L’autre tâche souvent prise en chargepar ce groupe de travail consistait àidentifier, pour chaque composante du

contrôle interne, des activités decontrôles réalistes et pragmatiques quenous pouvions tester, en tant qu’audi-teurs internes.• Comment vérifier que la structure de

son organisation est efficace c’est-à-dire qu’elle permet de porter la stra-tégie définie par son entreprise ?

• Comment tester que le style de mana-gement de sa société est adéquat etadapté ?

Autant de bonnes questions qui méri-taient de la réflexion et du partage d’ex-périences. Encore un autre exemple :comment mettre en place un dispositifde remontées des incidents ? Ce n’étaitpas un dispositif banal en France jusquedans les années 2010. L’idée était certestrès intéressante et riche d’informationsmais il fallait comprendre jusqu’où nouspouvions aller. La CNIL nous a beau-coup aidés sur ce sujet en encadrant lamise en place du dispositif d’alerte pro-fessionnel. Cela demeure toujours unvéritable sujet.

Exemple de tests pour les éléments duCOSO : « le conseil et la direction généralemontrent l’exemple en ce qui concerne l’im-portance du contrôle interne et notammentles normes de conduites attendues.• Il existe un code d’éthique.• Il existe une communication faite par ladirection générale sur l’éthique au coursde ces 12 derniers mois. Il existe des mes-sages de la DG sur l’intranet, des bro-chures, etc., destinés à l’ensemble desemployés.

• La direction explique dans un documentcommuniqué au personnel ce qui est per-mis et ce qui ne l’est pas (en matière dedépenses avec des clients par exemple).

• Il existe des programmes de formationsur le code d’éthique (e-learning…).Toutes les populations dites « sensibles »(commerciaux, acheteurs…) ont suivi ceprogramme de sensibilisation.

• Prendre un cas de non-respect du code /d’écart de bonne conduite au cours de ces12 derniers mois et examiner les sanc-

27

Le nouveau COSO


tions et mesures prises par la direction.Ces sanctions sont-elles cohérentes ethomogènes d’un cas à l’autre ?

• Les incidents potentiels et les écarts debonne conduite donnent lieu rapidementà des investigations, faites par des pro-fessionnels indépendants et objectifs.

• Le conseil d’administration demande àsuivre les incidents les plus significatifset les actions prises. »

L’arrivée du nouveau COSO 2013 n’estpas passée inaperçue. Mais beaucoupd’entre nous ne voient pas de révolu-tion. Ce nouveau référentiel n’est fina-lement que le digne fils de son père. Ilsuit le même programme et son contenun’a pas ou peu changé. « Sa mise en placesera toujours aussi difficile surtout pour lespetites structures » disent certains. « Toutcela restera encore très théorique pour nosentreprises » disent d’autres. Ou encore,« Il n’y a rien de nouveau, mais il est vraique les points identifiés tomberont mainte-nant dans notre radar ». Il existe doncbeaucoup de sceptiques.

Le nouveau monarque a desidées révolutionnaires !

Je ne suis pas d’accord. La révolution esten marche car le COSO 2013 présentede nombreux aspects novateurs.

C’est justement ce qui a poussé à sanaissance :• Les sujets du Roi, eux-mêmes,

demandaient un référentiel plus com-préhensible et plus utilisable.

• L’ensemble des parties prenantes quifinançait le Royaume, réclamaientdepuis longtemps plus de transpa-rence et un système permettant unemeilleure gouvernance, gestion desrisques, prévention et détection desfraudes.

• Et puis notre Royaume a beaucoupchangé en 20 ans. Nous avons desnouveaux risques, notamment dans ledomaine IS&T. Les systèmes d’infor-mation sont maintenant intégrés ànos dispositifs. Notre environnementn’est plus du tout le même. Il estdevenu global et beaucoup plus com-plexe.

Il fallait réagir. Le COSO 2013 aannoncé son objectif : il veut réduire lesrisques, accroître la conformité aux lois,politiques et procédures et renforcer lessystèmes de contrôle interne. C’est unbeau programme.

Bien entendu, la définition du contrôleinterne n’a pas changé. Les trois objec-tifs et les cinq composantes sont tou-jours les mêmes. Ils doivent permettred’évaluer l’efficacité du dispositif decontrôle interne. Le changement résideprincipalement dans les 17 nouveauxprincipes attachés aux composantes etses points d’attention, dans le renforce-ment du reporting extra financier et enfindans la prise en compte des petitesentreprises.

Trois domaines sont clarifiés : • La responsabilité de l’entreprise

quand elle décide d’externaliser desservices, notamment (mais pas seule-ment) dans le domaine informatique.En matière de contrôle interne, il estmaintenant clair que la responsabilitéreste dans nos entreprises – cette res-ponsabilité ne se transfère pas.

• La fraude revient sur le devant de lascène. Ce ne sont plus des activités decontrôles dilués un peu partout quenous devons évaluer.

• Les systèmes d’information sont par-tout dans nos entreprises et doiventêtre encore plus intégrés dans lanature de nos contrôles.

Laurent Arnaudo a débuté sa car-rière en 1990 chez Ernst & YoungParis puis San Francisco, aprèsavoir obtenu une maîtrise de ges-tion à l’Université de Paris-Dauphine. En 1997, il rejointl’équipe d’audit interne d’Alcatel oùil y occupera différentes fonctionsdont celle de directeur d’audit pourla région d’Europe du Sud, Afriqueet Proche-Orient. En 2004, ildevient directeur des projets Sarbanes-Oxley et LSF pour Alcatel,couvrant les 34 entités majeures dugroupe. Après la fusion Alcatel-Lucent en 2006, il est nommé direc-teur de l’audit interne avec uneéquipe de 80 personnes, basées àParis, New Providence (New Jersey -USA) et Shanghai. Il est lui-mêmebasé aux Etats-Unis.

En 2009, il rejoint le groupe Sodexoen tant que senior vice-président –audit interne groupe où il dirigeune équipe de 25 auditeurs, basésà Londres, Washington et Paris.

Laurent Arnaudo est CIA, CCSA etCRMA. Il est membre du conseild’administration et vice-présidentde l’IFACI. Il est également très actifau sein de l’IIA (The Institute ofInternal Auditors) après avoir étémembre de son conseil d’adminis-tration.

28

DOSSIER


Concrètement, dans les entreprises ren-contrées qui réfléchissent à la mise enplace du COSO 2013, les actions sui-vantes sont en route : • Renforcer l’automatisation des

contrôles dans les systèmes grâce auxoutils ACL, IDEA, Magnifier et biend’autres. Cela nous permet d’allouernos contrôleurs / auditeurs à destâches à plus forte valeur ajoutée, touten améliorant le périmètre de couver-ture puisque l’ensemble des transac-tions sont examinées en continu.

• Les auditeurs et contrôleurs internesne doivent pas oublier lescontrôles qui sont chezles prestataires. Lesauditeurs doiventaller faire desaudits chez euxaprès avoirvérifié l’exis-tence declauses d’auditdans les contrats,ou en s’appuyantsur des formes d’éva-luations externes, faites pardes entreprises indépendantes etobjectives.

• Les contrôles et les audits de confor-mité reviennent en force dans nosréférentiels et dans nos plans d’audit.Les entreprises ne peuvent plus sepasser de solides programmes anti-fraude (identification, communica-tion, prévention et détection desfraudes). Les comités d’audit doiventposer des questions sur leur existenceet leur efficacité.

• Enfin, si ce n’est pas déjà fait, il fautpasser à la vitesse supérieure et mettreen place un véritable modèle de ges-tion des risques intégrés (ERM), avecune méthodologie et un langagecommun.

Il faut dorénavant évaluer de façonbeaucoup plus formelle chacun des 17principes clés alloués aux 5 composantesdu COSO pour conclure au bon fonc-

tionnement de son dispositif de contrôleinterne. C’est une véritable révolution,car dans le COSO de 1992, il n’y avaitpas ces principes si explicitement définispar des points d’attention. Le jugementde chacun joue toujours un grand rôle,mais les directives sont beaucoup plusclaires. On sait ce qu’il faut mettre enplace pour être en conformité avec leCOSO 2013.

Pour ceux qui sont soumis aux règles deSarbanes-Oxley, les changements neseront pas majeurs : l’attestation sur l’ef-

ficacité du dispositif decontrôle interne relatif

aux informationscomptables et

financières s’ap-puiera sur leCOSO 2013.Les 17 nou-veaux principespermettront de

clarifier commentappliquer le réfé-

rentiel et aideront àévaluer l’efficacité des

contrôles internes dans leurconception et leur fonctionnement opé-rationnel. Les seules différences réside-ront dans la classification des faiblessesde contrôle interne, dans la documenta-tion du processus d’identification desrisques, et enfin dans la nécessité derecalculer le seuil de matérialité aumoment de la clôture :• Le COSO 2013 parle de déficiences

majeures et de déficience de contrôleinterne alors que le PCAOB qualifieles faiblesses de contrôles pour Sar-banes-Oxley comme soit une erreurmatérielle (« material deficiency ») soitune déficience significative (« signifi-cant deficiency »). Le PCAOB devra sepositionner, dans les mois à venir, surun alignement (ou pas) avec la défini-tion du COSO. Mais finalement, celane change pas grand chose pour ungrand nombre d’entreprises. Eninterne, nous évitions déjà d’utiliser le

vocabulaire du PCAOB qui restait lejargon des auditeurs externes. Nouspréférons parler de faiblesses decontrôle interne.

• Il faut dorénavant aussi expliquer, plusen détail, comment la sélection desrisques a été réalisée (et donc la sélec-tion des comptes, processus, et entitéssignificatifs pour la clôture de l’exer-cice). On pourra, par exemple,démontrer l’utilisation d’ateliers avecdes opérationnels et fonctionnels, etc.

• Il faut aussi s’assurer que la qualifica-tion des faiblesses et la sélection descontrôles (dans les comptes, les pro-cessus, les entités) en fonction duseuil de matérialité calculé en débutd’exercice reste toujours valable en find’année, après la clôture des résultats.

Dans le court terme, les actions à menersont les suivantes : il faut lire le référen-tiel COSO 2013 ! Les membres descomités d’audit doivent demander à leurcontrôleur ou auditeur internes desexplications sur ce nouveau COSO. Ilsdoivent comprendre quelles seront lesmodifications à apporter dans l’entre-prise. S’ils ne le demandent pas, il fautleur en parler et les éduquer sur les nou-veaux éléments du COSO 2013. Enfin,pour les sociétés utilisant déjà le COSOde 1992, il faut mettre en place un pland’actions permettant de répondre auxnouveautés du COSO de 2013 avant le15 décembre 2014. Cela se fera sansdouleur et permettra sans doute de ras-surer sur les forces. Pour les entreprisesqui n’ont pas mis en place le COSO1992, l’effort sera plus grand mais lesdirectives données sont maintenantbeaucoup plus claires et permettent demieux comprendre comment déployerle référentiel. C’est un nouveau Roi quia un bel avenir devant lui, ce COSO.Longue vie au COSO 2013…

« Il faut mettre en placeun plan d’actions permettantde répondre aux nouveautésdu COSO de 2013 avant le

15 décembre 2014 »

29

Le nouveau COSO


Le cadre de référence del’AMF : un cadre souple etagile tourné vers la mise enœuvre

La sortie du COSO 2013 est un événe-ment important pour nous responsables

d’audit, de contrôle interne et de mana-gement des risques. C’est l’occasion dese remettre en question, d’abord de sefamiliariser avec les évolutions, puisd’identifier nos points forts, nos pointsfaibles et enfin de revoir éventuellementnos objectifs. C’est aussi l’occasion de

s’interroger sur nos référentiels : doit-onles faire évoluer voire en changer ?

Le contrôle interne à SNCF est animépar la direction de l’audit et des risquesen liaison avec la direction financièregroupe. La direction de l’audit et desrisques définit les méthodes et outils,fixe les objectifs et assure le reporting etl’évaluation d’ensemble. Elle coordonnel’élaboration des référentiels de contrôleinterne et pilote les démarches d’auto-évaluation. De leur côté, les différentesbranches d’activité (Business units)conçoivent leur organisation du contrôleinterne sur leur périmètre, définissentavec la direction de l’audit et des risquesleurs objectifs, organisent leur évalua-tion et assurent leur rendu compte.

Le choix du cadre de référencede l’AMF : un choix naturel

Fin 2009, à SNCF, la direction de l’auditet des risques et la direction financièregroupe ont décidé de mettre en placeune nouvelle organisation du contrôleinterne afin de le rendre plus efficacetout en accompagnant les évolutionsmanagériales de l’entreprise qui renfor-çait son fonctionnement par branched’activités : SNCF Voyages, SNCF Proxi-mités, SNCF GEODIS, Gares etConnexions et SNCF Infra. Notreconstat était que beaucoup d’acteurs

Raymond Marfaing

Directeur adjoint en charge des risqueset du contrôle interne, SNCF

Anne Bosche-Lenoir

Directrice de l’audit et des risques, SNCF

Le COSO 2013 et le cadrede l’AMF ne s’excluentni ne s’opposent, ils sontcomplémentaires

La sortie du COSO 2013 provoque une remise en question et des choix quant à l’uti-lisation de tel ou tel référentiel. Le cadre de référence de l’AMF, retenu par SNCF, pré-sente, entre autres avantages, celui d’être cohérent avec le COSO, d’être très concret,adapté à la culture SNCF, et tourné vers la mise en œuvre opérationnelle. Néan-moins, le COSO 2013 est une source d’enrichissement dont l’AMF doit tenir compte.

30

DOSSIER


travaillaient sur le contrôle interne maisque leurs travaux étaient peu connectésentre eux et n’étaient pas « tirés » parune politique d’entreprise. Une desconséquences était que le contrôleinterne n’était pas vraiment perçu par lemanagement comme un moyen de maî-triser ses opérations ni comme un outillui permettant de mieux assumer sesresponsabilités.

Nous avons alors défini des objectifssimples : réussir en 3 ans à mettre enplace une organisation claire au servicedu management tout en limitant les fraisde structure. Pour cela, nous avonsd’abord précisé le rôle des différentsacteurs depuis le comité d’auditjusqu’aux opérationnels tout en prenanten compte les échelons fonctionnels. Cepremier travail nous a permis de mon-trer que le contrôle interne ne peut seconcevoir que dans une chaîne quiconcerne toute l’entreprise et quiimplique tous les acteurs.

Après ce premier travail, très vite s’estposée la question du référentiel à suivre,quel cadre de travail commun devions-nous prendre. Assez naturellement nousnous sommes tournés vers le cadre deréférence de l’AMF. Nous avions préa-lablement adopté ce cadre pour le rap-port du président sur le contrôle interneet étions déjà, à la direction de l’audit etdes risques de SNCF, familiarisés avecce cadre. De plus, ce cadre à l’époqueévoluait dans la suite de la transpositiondes 4èmes et 8èmes directives européennes.Ce cadre présentait à nos yeux beau-coup d’avantages :• très adapté à notre culture, à un envi-

ronnement français ;• très concret, facilement communica-

ble ;• tourné vers la mise en œuvre opéra-

tionnelle avec en particulier le ques-tionnement et le guide d’applicationqu’il propose.

Il faut également ajouter qu’il offraitl’avantage avec sa révision de traiter en

un seul document du contrôle interne etde la gestion des risques en intégrant lestravaux les plus récents en la matière. Lecadre de référence s’appuie en effet surles évolutions constatées à l’époquedans les principaux référentiels interna-tionaux et notamment le COSO II et lanorme ISO 31 000. Pour une directionqui réunit audit, contrôle interne etrisques, c’était très appréciable.

Nous ne nous sommes pas trop interro-gés sur la possibilité de prendre commeréférence le COSO dans la mesure où,comme nous venons de le dire, le cadrede référence de l’AMF est cohérent avecle COSO et que nous trouvions dans lecadre AMF un guide répondant à nosattentes. Nous avons alors défini unobjectif clair : avoir mis sous contrôle àéchéance 2013 notre environnement decontrôle et les 14 processus identifiéspar l’AMF dans son guide d’applicationsur le contrôle interne de l’informationcomptable et financière.

La direction de l’audit et des risques dans l’organisation de la SNCF

Management de branches

Conseil d’administration

Direction de l’auditet des risques

Direction de l’auditet des risques

Sécurité des SIdu groupe Contrôle interne

Réseau de riskmanagers

Réseau deRSSI

Réseau decontrôleurs internes

Comité d’audit, descomptes et des risques

Audits Managementdes risques

Légende :Rattachement fonctionnelRattachement hiérarchique

Le nouveau COSO


Le fait d’avoir utilisé le guide d’applica-tion a également constitué un levierinterne. Cela nous a permis de mettre enmouvement les « propriétaires » de pro-cessus. Nous avons alors commencé parles processus présentant le plus d’enjeuxpour l’entreprise, que ce soit en termesd’euros ou en termes de risques, à savoirla paie, les achats et les immobilisations.Nous avions dans le cadre un guidefacile d’accès, ce qui est important pourappréhender ces processus qui sontcomplexes pour une entreprise de lataille de SNCF.

Après plus de 2 ans de travail, nousavons atteint ainsi les objectifs fixés etrespectons notre tableau de marche.Même s’il reste bien sûr beaucoup àfaire, nous estimons que nous avonsatteint un bon niveau de maturité dansplusieurs domaines : l’analyse et la des-cription des processus, l’identificationdes points de contrôle clés, la rédactionde guides de contrôle interne, la forma-tion des acteurs, le déploiement de cam-pagnes d’auto-évaluation auprès denombreux acteurs en entités mais aussien centres de services partagés. Nouspensons que le fait d’avoir choisi lecadre AMF nous a aidés ; les avantagesque nous pressentions se sont confirmésdans les faits.

La grande similitude COSO /cadre de l’AMF a étédéterminante

Même si nous n’avons pas retenu leCOSO, la similitude COSO / cadre deréférence AMF a été pour nous un élé-ment important. D’abord, nous avionsune garantie qu’il n’y aurait pas decontradiction. Nous utilisons le COSOdans nos travaux internes à la directionde l’audit et des risques de SNCF. Il resteune référence essentielle pour benchmar-ker nos travaux d’audit et former nosauditeurs et/ou nos spécialistes decontrôle interne. Ne pas avoir cettegarantie de cohérence aurait risqué de

nous mettre en forte difficulté voire delever des incompréhensions avec desnon spécialistes.

Notamment, il est important et rassu-rant de constater que les 5 composantesdu contrôle interne sont les mêmes àquelques écarts minimes près. Lalogique est préservée : l’organisation / ladiffusion d’information / le dispositif degestion des risques / les activités decontrôle / la surveillance. Pour nous celaest essentiel. Il s’agit principalementd’écarts de terminologie. D’ailleurs,l’AMF disait en 2007 à propos duCOSO : « le groupe de place s’est inspirédes cinq composantes du COSO même sil’on ne retrouve pas à l’identique, dans ledocument de place, la terminologie utiliséepar le référentiel américain ».

Certes le COSO est un bon guide etdonne beaucoup d’exemples mais lecadre de référence, comme nous l’avonsvu plus haut, avec son questionnementet son guide d’application, est davantageorienté vers la mise en œuvre ; le travaild’adaptation / transcription au contextede l’entreprise s’avère relativement sim-ple et aisé.

Le « new COSO » :un enrichissement pour nostravaux

Nous n’opposons pas le COSO et lecadre de référence de l’AMF. Nous pré-férons y voir davantage une complé-mentarité. Pour nous, le COSO 2013 vanous aider à avoir un nouveau regardsur le contrôle interne et à identifier despistes d’amélioration. C’est clairementun enrichissement pour tous nos tra-vaux.

Nous avons aussi besoin de continuitédans les objectifs affichés. Nous avonslargement communiqué sur le fait qu’ilfallait que l’environnement de contrôleet les 14 processus du guide d’applica-tion sur le contrôle interne de l’informa-

Anne Bosche-Lenoir est directricede l’audit et des risques du groupeSNCF depuis avril 2013. Diplôméede l’ENA et de HEC, elle a occupéplusieurs postes à la direction dubudget au ministère de l’Economieet des Finances dont celui de sousdirectrice en charge des AffairesEuropéennes. Elle a également étéSenior Banker à la Banque Euro-péenne pour la Reconstruction et leDéveloppement (BERD), responsa-ble du montage et du financementde projets dans les secteurs publicset privés en lien avec les banqueslocales. Elle a ensuite été DGAFinances, Audit et Contrôle de ges-tion au Conseil Régional d’Ile-de-France dans une période où le bud-get de la Région a crû de 70 % et leseffectifs ont été multipliés par six.

Raymond Marfaing, diplômé del’Ecole Centrale de Paris, a exercédifférents postes de responsabilitéà SNCF dans les directions cen-trales, aux achats, à l’organisation,aux ressources humaines et dans ladirection régionale de Paris-Rive-Gauche où il était directeur délé-gué gestion finances. Il a rejoint ladirection de l’audit et des risques en2001 comme chef de mission puiscomme directeur adjoint en chargedes risques et du contrôle interne.

31

32

DOSSIER


tion comptable et financière soient souscontrôle. Nous considérons que touteévolution de la cible serait un facteur defragilisation. Beaucoup d’acteurs,notamment les opérationnels, commen-cent à bien comprendre ce qu’est lecontrôle interne et ce qu’on attendd’eux. Ils ne perçoivent plus ce sujetcomme un sujet de spécialiste danslequel ils auront du mal à entrer. Lacontinuité est essentielle pour nous.

En revanche, le COSO 2013, commenous venons de le dire est une sourced’enrichissement. On le voit bien à lalecture des thèmes suivants :• la prise en compte des risques extra-

financiers ;• la mise en exergue du risque sous-

traitance ;

• l’identification de 17 principes sur lesattentes en matière de contrôleinterne ;

• la présentation de 81 points d’atten-tion avec pour chaque point des ques-tions qui traduisent les grandes carac-téristiques des principes.

Pour nous cela est une aide précieusemais surtout dans nos missions de res-ponsable de la politique de contrôleinterne, en tant qu’entité qui définit lesprincipes. En 2010, nous avons claire-ment défini une priorité : « êtreconforme AMF » sur les 14 processus etsur l’environnement de contrôle. Dansun premier temps, cela doit constituer lenoyau dur de notre approche. Dans undeuxième temps, nous travaillerons surles thèmes autres que financiers.

Ces raisons font que dans l’immédiat, ilest difficilement imaginable de revenirsur le choix du cadre de référence del’AMF.

L’AMF doit prendre en comptele COSO 2013

Le COSO 2013 introduit des change-ments importants comme sur les valeurséthiques, l’importance de l’intégrité surlesquels nous ne pouvons qu’adhérer.Ce sont d’ailleurs des axes forts à SNCF.Le COSO 2013 pointe également dessujets de fond comme la RSE, l’articula-tion des 3 lignes de défenses, l’articula-tion du « tone at the top » avec les com-portements, la prise en compte dessous-traitants…

Ces évolutions ne sont pas incompati-bles avec le cadre de référence de l’AMF.En effet, à la lecture approfondie ducadre AMF, on voit que la partie II surles principes généraux de gestion desrisques et de contrôle interne portentsur un périmètre qui ne se limite pas audomaine comptable et financier. Ce sontles parties relatives au questionnaire etau guide d’application qui ciblent sur cesdomaines.

Compte tenu des apports du COSO2013, il est important que le cadre deréférence de l’AMF en tienne comptetout en gardant son côté souple, agile etfacile d’accès qui constitue pour nousutilisateurs un atout et une attente.

© S

NCF

- Tr

oism

ille

Le groupe SNCF à fin 2012 : 5 branches / 33,8 milliards € de chiffre d’affaires

SNCF INFRA

Gestion, exploitation,maintenance du réseaupour RFF et ingénieried’infrastructureActivité en France + ingénierieen Europe, Asie, Moyen-Orient,Afrique, Amériques

5,5 Mds € (15%)

SNCF PROXIMITÉS

Services de transportpublic urbain, périurbainet régional pour lesvoyageurs du quotidienTER, Transilien et Intercités enFrance, Trains d’Equilibre du Ter-ritoire (TET) Keolis en France,Europe, USA, Canada et Austra-lie

12,8 Mds € (35%)

SNCF VOYAGES

Transport ferroviaire devoyageurs à grandevitesseEurope (France, Espagne,Royaume-Uni, Belgique, Pays-bas, Allemagne, Autriche, Suisseet Italie)

7,5 Mds € (20%)

SNCF GEODIS

Opérateur global multi-modal de transport etlogistique de marchan-dises120 pays5 continents

9,5 Mds € (26%)

GARES & CONNEXIONS

Gestion et développe-ment des gares (indé-pendamment de l’acti-vité de transporteur)3 000 gares françaises et acti-vité de l’AREP au niveau inter-national

1 Md € (4%)


LES AUDITS MÉTIERS

dits sont généralement le domaine dessociétés de conseil, mais peuvent êtrepratiqués par l’audit interne dans cer-taines conditions et dans la mesure oùles auditeurs ont les compétences pourles mener à bien comme le demandentles Normes professionnelles de l’auditinterne. Cet article a pour but d’expli-quer comment bien commencer dans cedomaine et se base sur des exemplessimples d’analyse de la performance.

L’audit de performance se base sur 3principes qui sont l’efficacité, l’efficienceet l’économie, que l’on peut redéfinircomme le respect des objectifs, la pro-ductivité, la maîtrise des coûts des opé-rations (Cf. schéma 2).

Le contrôle de la performanceet les normes

Le rôle de l’audit interne est de s’assurerque la direction met tout en place pourréduire les risques qui existent dansl’entreprise ; la sous-performanceconstitue un risque pour l’entreprise quidoit être évalué. Le contrôle de la per-

L’objectif des audits de perfor-mance est de vérifier si l’ar-gent des contribuables est

bien utilisé. Pourquoi ne pas faire lemême exercice pour les action-naires ?

Le terme d’« audit de performance » està l’origine un type d’audit lié au secteurpublic, pratiqué notamment aux Etats-Unis et régi par une organisation spé-ciale (INTOSAI1). L’objectif des audits deperformance est de vérifier si l’argentdes contribuables est bien utilisé, on lesappelle aussi « Value for Money audits ».

Pourquoi ne pas faire le même exer-cice pour les actionnaires ? Dans le contexte actuel de crise, l’auditinterne doit pouvoir aller au-delà descontrôles de conformité et contrôlesfinanciers en étudiant d’autres formesd’audits comme les audits de perfor-mance. Bien sûr, des contrôles de per-formance sont souvent déjà intégrésdans les programmes de travail, maisl’étude poussée de la performance n’estpas toujours un objectif. Ces types d’au-

Dans le contexte actuel de crise, l’audit interne doit pouvoir aller au-delà descontrôles de conformité et contrôles financiers, en étudiant d’autres formes d’audits,comme les audits de performance. Ces types d’audits peuvent être pratiqués parl’audit interne dans certaines conditions et dans la mesure où les auditeurs ont lescompétences pour les mener à bien, comme le précisent les normes professionnellesde l’audit interne.

Emmanuel Pascal

Corporate Audit Manager, Brakes

Diplômé de l’ISC et de HEC (Execu-tive Mastère Gestion Financière),CIA, CFE, CRMA, Emmanuel Pascalest Corporate Audit Manager dugroupe anglais de distributionBrakes. Il a précédemment mis enplace le service d’Audit Interne de laRéunion des Musées Nationaux.Dans son mémoire de Mastère, il aétudié comment mesurer la perfor-mance des stratégies de gestiondes variations de prix des matièrespremières agroalimentaires.

La pratique des auditsde performance

formance est précisé dans les Normes.Ainsi, la norme 2110 sur le gouverne-ment d’entreprise indique que « L’auditinterne doit évaluer le processus de gouver-nement d’entreprise et formuler des recom-mandations appropriées en vue de son amé-lioration » et, concernant spécifiquementla performance, l’audit interne doitdéterminer si le processus répond àl’objectif de « garantir une gestion efficacedes performances de l’organisation, assortied’une obligation de rendre compte ». Maisil existe également d’autres motivationspour étudier la performance ou plutôt lerisque de sous-performance qui peut sedéfinir comme le risque que le manage-ment n’utilise pas efficacement lesmoyens mis à sa disposition et que sarentabilité en soit affectée. Derrière lasous-performance peuvent se cacherd’autres risques comme la défail-lance du système d’information(mauvaise remontée des données) oula fraude (surfacturation de presta-tions ou présence d’employés fictifs).

Les précautions à prendreavant de se lancer

Avant d’envisager cet audit, il faut pren-dre en compte les points suivants :• Fixer des objectifs atteignables –L’objectif devrait être, dans un premiertemps, d’évaluer la pertinence durisque de sous-performance. S’il

existe un potentiel d’améliorationaccessible, vous pourrez élargir lepérimètre.

• Se former à d’autres méthodes :l’analyse stratégique et lesméthodes de contrôle de gestion –Pour mener ces audits, vous allezdevoir élargir le champ de vos com-pétences en contrôle de gestion(méthodes de costing) et en stratégie(revue des processus clés, création /destruction de valeur).

• Maîtriser la stratégie, les processuset les systèmes d’information dudomaine à auditer – Si vous maîtri-

sez ces éléments, vous serez plusaptes à identifier les anomalies.

• Ne pas faire un audit du contrôlede gestion – Evaluer le contrôle de laperformance, ce n’est pas remettre encause le travail du contrôle de gestion,mais au contraire étudier avec lui lapotentialité de nouveaux indicateurs.Précisez-le dans vos objectifs.

• Ne pas confondre avec les étudesdes cabinets de conseil – Vos objec-tifs sont différents, car les cabinetssont là pour mesurer avec précision etdéterminer les mesures à apporter.Vous pourrez éventuellement faireappel à eux et à leurs moyens (datami-ning, benchmarking) une fois que vousaurez évalué la pertinence du risque.

• S’assurer de la fiabilité des infor-mations utilisées – Le risque peutaussi venir des indicateurs en placequi se révèleraient faux et qui cache-raient la sous-performance. Commedans tout audit, il faut aussi s’assurerde la fiabilité des informations obte-nues et utilisées.

Quels domaines cibler ?

Le choix du domaine à étudier sera biensûr fonction des risques définis par la

34

LES AUDITS MÉTIERS


Audit nancier

Auditde performance

Auditde conformité

RéférentielsNormes

nancièresObjectifs

Productivité

LoisProcéduresRèglements

Schéma 1 : les types d’audit possibles

E�cacité

Respectdes objectifs

E�cience

Productivité

Economie

Maîtrise du coûtdes opérations

Schéma 2 : Les principes de l’audit de performance

Etapes Questions à se poser

Métier Quelles sont les véritables objectifs du domaine étudiépour créer de la valeur ?

Processus clés Comment peut-il atteindre ses objectifs ?

Ressources clés De quoi dispose-t-il pour atteindre ses objectifs ?

Calcul des indicateurs Mesurer la performance et la comparer à des donnéesinternes ou externes.

Phase 1 : Analyse desfacteurs de ralentisse-ment

Qu’est-ce qui peut ralentir le processus ou gâcher desressources ?

Phase 2 : Analyse dupotentiel d’optimisa-tion

Qu’est-ce qui peut optimiser le processus ou l’usagedes ressources ?

Schéma 3 : Processus d’analyse de la performance

carte des risques, mais les domainessupports comme les services adminis-tratifs ou les services aux clients (SAV,livraisons…), moins couverts par desindicateurs, seront des cibles poten-tielles. Néanmoins, ne négligez pas derevoir la pertinence des indicateurs uti-lisés sur les domaines « opérationnels »couverts par le contrôle de gestion.

Quel processus d’analyse ?

Avant d’aborder les méthodes d’évalua-tion de la performance, il faut réaliserune analyse du domaine étudié sousl’angle du risque de sous-performanceen étudiant son métier, ses processusclés et ses ressources clés (Cf. schéma 3).

Le métier d’une société ou d’undomaine n’est pas forcément l’objectifaffiché par l’entreprise dans ses mes-sages ou sa culture, mais l’objectif qui valui permettre de créer de la valeur enmaximisant ses ressources ou de ne pasen détruire. Il faut alors étudier quelssont les processus qui permettent d’at-teindre ces objectifs en écartant les pro-cessus subis sans réelle plus value pos-sible et en ne gardant que les processusoù l’on pourrait dégager de la valeur.

En ce qui concerne les ressources clés, ilfaut partir du raisonnement suivant :quelles sont les ressources rares du

domaine étudié ? La ressource clé n’estpas seulement une matière première ouun temps machine, elle peut être aussiune ressource humaine particulière liéeà un savoir-faire ou encore un paramètrede temps (voir schéma 4).

Méthodes d’analyse

La performance sera étudiée au traversd’indicateurs qui seront utilisés sur une

période ou un domaine donné. Cesindicateurs seront établis à partir desressources clés définies auparavant etseront comparés à des indicateursexternes ou internes (autre domaine /pays).

Pour ce qui est des méthodes d’analyseutilisées, j’en distingue deux complé-mentaires. Ainsi, après avoir étudié cequi va ralentir le processus type, ilfaut étudier comment l’accélérer endéterminant les facteurs de créationet de destruction de valeur. La pre-mière va consister à identifier et étudiertous les facteurs ralentissant le proces-sus concerné dans les domaines organi-sationnels (gestion des présences dupersonnel, tâches superflues…) et tech-niques (vitesse de traitement informa-tique par exemple). Avec la deuxièmeméthode, on va rechercher commentaccélérer le processus en passant enrevue les facteurs de création et de des-truction de valeur au sein du domaine,notamment en optimisant l’usage desressources (voir exemple dans le schéma


Actifsdisponibles

• Logiciels• Machines• Surfaces, volumes• Droits• Autorisations• Autorisatio

Clientsdisponibles

• Fréquentation• Abonnés• Zone de chalandise• Fonds de commerce

Tempsdisponibles

• Créneaux horaires• Saisons• Temps de travail en

général• Temps de travail des

personnes avec un savoir-faire particulier

Schéma 4 : Exemples de ressources clés

Etapes Analyse simplifiée

Métier Gestion des ventes à des flux de clients de passage(Vente perdue = perte de valeur car le client / visiteurne revient pas)

Processus clés • Vente / encaissement (encaissement rapide)• Merchandising (identification rapide des produits)• Gestion des stocks (éviter les ruptures)

Ressources clés Visiteurs, heures de forte affluence

Calcul des indicateurs Chiffre d’affaires par visiteur (heure par heure)

Phase 1 : Facteurs deralentissement

• Temps d’encaissement • Temps de réapprovisionnement • Accès limité aux produits

Phase 2 : Potentield’optimisation

• Produits non adaptés aux besoins des visiteurs(langue, format)

• Difficultés à identifier les produits • Vendeurs non formés aux langues des visiteurs

Schéma 5 : Exemple d’analyse de la performance dans les magasins dépendantd’une fréquentation (gares, aéroports, musées par exemple)

Ressources clés : Sources de création de valeurExemple

36

LES AUDITS MÉTIERS


5), comme le font les entreprises indus-trielles en exploitant les installations24h/24 avec 3 équipes ; mais il existeégalement des solutions dans ledomaine de la prospection commercialeavec les solutions de CRM (connais-sance des clients) ou dans les servicesavec le yield management (variation destarifs en fonction des horaires).

Comment établir unprogramme de travail ?

La méthode d’établissement d’un pro-gramme de travail ne va pas varier parrapport à un audit classique, néanmoinsil faut prévoir une phase d’évaluationqui va déterminer s’il est possible d’avoir

des informations pertinentes dans lesystème actuel et quelle complexité onva chercher à atteindre.

On notera : • l’étude du contexte et descontraintes ;

• l’évaluation des informations néces-saires ;

• l’analyse du domaine (métier, proces-sus clés, ressources clés) ;

• l’analyse des informations financièreset opérationnelles ;

• l’établissement de modèles de calcul ;• les tests sur une période ou undomaine donné ;

• l’analyse des facteurs de ralentisse-ment – recommandations ;

• l’analyse du potentiel d’amélioration– recommandations ;

• l’analyse des résultats avec le mana-gement ;

• la validation des recommandations.

Quelles recommandationsproposer ?

Les recommandations vont porter surles améliorations des processus, maispeuvent également comporter des élé-ments stratégiques ou demander descompléments d’analyse sur desdomaines plus complexes si des oppor-tunités ont été identifiées.

En conclusion, outre la récupération etl’exploitation des informations, la prin-cipale difficulté de ce type d’audit va êtrede faire accepter par le managementnon seulement d’éventuels change-ments d’organisation, mais égalementune autre vision du suivi des activités,voire des activités elles-mêmes.

Domaine Exemple

Amélioration du suivi et de l’informa-tion

Nouveaux indicateurs Nouveau flux d’information

Amélioration de l’organisation Réaffectation de personnel Modification de l’organisation Nouveaux processus

Amélioration de la stratégie Mise en place de nouvelles méthodes

Schéma 6 : Recommandations possibles

1 Voir informations sur le site de l’association(www.intosai.org)

1èreCONFÉRENCE annuelle

Innovation, maîtrise etperformance : réinventerl’audit et le contrôle internes

Paris 14 novembre 2013

Une journée complète, organisée autour de conférences et d’ateliers, résolument tournéevers le partage des savoirs et les échanges d’idées pour répondre aux défis de la profession. 1 allocution d’ouverture et 1 allocution de clôture avec des intervenants prestigieux du

monde économique et politique 5 plénières / 6 ateliers Des démonstrations des fournisseurs de logiciels Les conclusions de l’enquête IFACI – Ernst & Young sur l’innovation Des moments d’échange et de convivialité lors de pauses, d’un déjeuner et d’un cocktail de

clôture

Le rendez-vous annuel des auditeurs et contrôleurs internesInscription : http://conferenceifaci2013.evenium.com



Evénements

Contrôle interne etcontrôle de gestion :quelles interactions ?

Réunion mensuelledu 20 février 2013 – extrait

Si l’on considère les troislignes de maîtrise desactivités, contrôle interneet contrôle de gestion seretrouvent tous deux dansla deuxième ligne, avec lagestion des risques, laconformité, la qualité, lasécurité, etc. La premièreligne de maîtrise est sous laresponsabilité du manage-ment opérationnel ; la troi-sième ligne revient à l’auditinterne qui procure uneassurance.

Quels sont les enjeux pourles deux fonctions ? Ledénominateur commun quesont les données ; une évo-lution vers des thèmescommuns.

Les points communs entreles deux fonctions. Lavaleur ajoutée : perfor-mance des opérations, opti-misation des ressources,gestion des risques. Laméthodologie d’analyse :vision transversale de l’or-ganisation, interactionsavec les autres fonctions del’entreprise, productiond’indicateurs et de référen-

tiels permettant de « bench-marker » les entités. Lepositionnement : appui aumanagement et contribu-tion à l’atteinte des objec-tifs.

Quelques spécificités.L’approche se fait par lesprocessus et les systèmespour le contrôle interne ;par les indicateurs (tableauxde bord) pour le contrôle degestion. La gestion est cen-trée sur les dysfonctionne-ments dans les processus etles systèmes pour lecontrôle interne ; sur lesrisques affectant le modèleéconomique et la réalisa-tion du budget pour lecontrôle de gestion. Ladémarche du contrôleinterne est structurée pardes référentiels(risques/contrôles) ; par leprocessus budgétaire pourle contrôle de gestion. Leslivrables du contrôleinterne sont les référentiels,les résultats, les évalua-tions, les plans d’actions, lerapport sur le contrôleinterne ; pour le contrôle degestion, ce sont les tableauxde bord et les plans d’ac-tions…

L’enjeu commun des don-nées. Le contrôle internedoit fiabiliser les indicateursutilisés par le contrôle degestion, autrement dit toutela chaîne de traitement. Lecontrôle interne s’ajuste enfonction des indicateurs depilotage des activités. Les

processus métiers compor-tent des indicateurs de pilo-tage de la performance, les-quels indicateurs permet-tent au contrôle interne dedimensionner les efforts parrapport aux enjeux, et d’êtreen mode réactif. Le contrôlecontinu transactionnel inté-resse à la fois le contrôleinterne et le contrôle degestion, d’où l’intérêt d’uninvestissement commun.

Deux points forts, deuxenjeux. Intégrer la dimen-sion risques : un point fortdu contrôle interne, unenjeu pour le contrôle degestion. Développer lanotion de « business part-ner » : un point fort ducontrôle de gestion, unenjeu pour le contrôleinterne.

Faut-il et commentpeut-on valoriser lesrecommandations ?

Réunion mensuelledu 18 mars 2013

La valorisation des recom-mandations se fait via score-card sur deux axes : enfonction de l’impact finan-cier et de la probabilitéd’occurrence, avec uneadaptation selon l’appétitau risque (small business,large business). Les risquesles plus difficiles à valorisersont les risques« abstraits » : risques deréputation, de sanction

réglementaire…La valorisation des risquesopérationnels est nécessaireau calcul des fonds propresexigés (Bâle II). En pratique,il y a discussion et valida-tion du plan d’action avecle management et scorecarden appui à la recommanda-tion. Dans tous les cas, lavalorisation est réalisée parnécessité méthodologique.Les recommandations fontl’objet d’un suivi très rap-proché : envoi mensuel dureporting des points d’auditouverts aux différentsdépartements ; mutualisa-tion de la méthodologie etdes outils de suivi entre ladeuxième et la troisièmeligne de défense (reportingau comité mensuel de pilo-tage des risques opération-nels de toutes les recom-mandations à échéancetrois mois ; outil informa-tique centralisé de recense-ment et de suivi desrisques ; processusd’ « escalade » en cas derecommandations nonmises en œuvre). (Source : ING DIRECT)

Valoriser les recommanda-tions pour clarifier la visionde l’activité auditée. L’auditdoit apporter une visionsynthétique et hiérarchiséedes risques rencontrés. Lahiérarchisation impose lavalorisation de toutes lesrecommandations.Considérer le processus devalorisation des recomman-dations comme un moment

38



d’échange avec les audités.La valorisation est un élé-ment objectif résultant d’undialogue avec les audités.Un travail collaboratif avecces derniers donnera unevision claire et exhaustivede la situation à la directiongénérale et au conseil d’ad-ministration.Toutes les recommanda-tions doivent être valoriséesafin de mettre en relief lesprincipaux risques. La valo-risation des recommanda-tions doit être objective etconstante dans le temps. Lavalorisation des recomman-dations implique un suivipost audit cohérent et régu-lier.(Source : CNP Assurances)

Faut-il valoriser les recom-mandations ? Oui. La mis-sion de l’audit interne estaussi de contribuer à créerde la valeur ajoutée, et deprouver son apport à cettecréation de valeur, par lamesure des gains : ce qui nese mesure pas n’existe pas.Il doit s’établir une relationde fournisseur à client entreles business units et l’auditinterne. Concernant lecomité d’audit et la direc-tion générale, ces deuxorganes sont très attachés àla valorisation et la rappro-chent du budget de l’auditinterne.

La typologie des valorisa-tions est triple. Les recove-ries réels et potentiels. Lesvalorisations subjectives :profits potentiels ; endiguerles pertes à venir ; mesurespréventives ; améliorationdes contrôles en place …Les enjeux généraux oufinanciers associés aux

points d’audit : risques degouvernance, environne-mentaux…Peut-on valoriser tous lespoints d’audit ? Certainssujets se prêtent difficile-ment à la valorisation : ainside la santé et de la sécurité.(Source : ARCELORMITTAL France)

Charte éthique etalerteprofessionnelle :le point sur ces outilsde responsabilitésociétale

Réunion mensuelledu 30 mai 2013

Evolution de laréglementation en FranceLe système d’alerte est envoie de construction. Desrésistances apparaissent dela part de la CNIL et del’inspection du travail. Lessyndicats estiment que lesdispositifs de whistleblowingsont attentatoires aux droitsdes salariés. Depuis 2005,lois et décisions jurispru-dentielles se succèdentpour préciser les conditionsdans lesquelles il est possi-ble de mettre en place undispositif d’alerte éthique.

La situation au sein del’Union européenneaujourd’huiOn note une grande diver-sité des systèmes juri-diques. Au Royaume-Uni,une loi protège les whistle-blowers du licenciement etdes pressions. En Italie, laloi anticorruption ne pré-voit aucune protection deswhistleblowers. En Espagne,une loi organique relative à

la protection des donnéesfixe les règles.

Les mesures de protectionà mettre en place vis-à-visdes whistleblowersUne protection en amontde la relation contractuellede travail, incluant les pro-cédures de recrutement ; letraitement des alertes pro-fessionnelles par une orga-nisation spécifique ; l’obli-gation d’information enversle whistleblower, etc.(Source :JEANTETASSOCIES)

Le dispositif d’alerteéthique de ThalesLa CNIL autorise Thales àmettre à la disposition dessalariés, à titre complémen-taire aux autres canauxd’alerte existant dans l’en-treprise, un dispositif facul-tatif d’alerte profession-nelle.Les champs d’applicationsont les domaines compta-ble, financier, bancaire, lalutte contre la corruptionou la concurrence, ainsi quela discrimination, le harcè-lement ou le non-respectde la législation sur l’hy-giène et la sécurité mettanten péril la santé physiqueou mentale des salariés.Les règles de fonctionne-ment prévoient un disposi-tif facultatif, dans le respectde la loi et des règles appli-cables dans le pays où lesalarié réside ou exerce sesactivités, avec un engage-ment de confidentialité, etun seul responsable du dis-positif.L’alerte éthique a pour butde développer desapproches comportemen-tales basées sur la respon-

sabilisation et l’appropria-tion, et de placer l’éthiqueau cœur des processus demanagement.

La démarche éthique à EDFEn 2003, mise en placed’une démarche éthique etd’un code éthique. Créa-tion d’un dispositif d’alerteen 2004. Renforcement dela démarche en 2007. Dis-positif d’alerte certifié CNILen 2011. Renouvellementde la charte éthique en2013.

Les enjeux de la charteéthique groupeLes objectifs sont de contri-buer à la création d’uneidentité de groupe ; demieux vivre et mieux tra-vailler ensemble ; deréduire les risques deconformité, de réputation etde cohésion sociale aux-quels le groupe est exposédu fait de son activité dansle monde ; de répondre àl’interpellation des partiesprenantes par le partaged’un standard éthique com-mun aux sociétés et à tousles salariés du groupe.

Le dispositif alerte éthiqueTout salarié du groupe doitpouvoir alerter son mana-gement sur toute situationcontraire aux valeurs et auxengagements du groupe. Lacommission éthique etdéontologie du groupegarantit la confidentialité etl’anonymat ainsi que l’ab-sence de représailles à toutauteur d’alerte de bonne foiquel qu’il soit.

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

Calendrier 2013SESSIONS Durée Tarifs

adhérentsTarifs nonadhérents janv. févr. mars avril mai juin juil. sept. oct. nov. déc.

SE FORMER AU CONTRÔLE INTERNES’initier à la maîtrise des activités et au contrôle interne 2 j 950 € 1 125 € 10-11 11-12 14-15 8-9 13-14 10-11 3-4 9-10 3-4 14-15 2-3

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 14-16 13-15 18-20 10-12 15-17 12-14 11-13 7-9 4-6

Elaborer un référentiel de contrôle interne 2 j 1 200 € 1 350 € 21-22 19-20 21-22 21-22 17-18 8-9 16-17 10-11 18-19

Piloter un dispositif de maîtrise des activités et de contrôle interne 2 j 1 200 € 1 350 € 23-24 21-22 25-26 23-24 20-21 19-20 20-21 10-11

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 29-30 27-28 24-25 14-15

Maîtrise des activités, contrôle interne et communication 2 j 1 200 € 1 350 € 25-26 27-28 23-24 12-13

SE FORMER À L’AUDIT INTERNELes fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 950 € 1 125 € 10-11 5-6 14-15 4-5 16-17 6-7 1-2 5-6 3-4 7-8 2-3

Conduire une mission d’audit interne : la méthodologie 4 j 1 950 € 2 150 € 14-17 11-14 18-21 8-11 21-24 10-13 1-4 9-12 7-10 12-15 9-12

Maîtriser les outils et les techniques de l’audit 3 j 1 625 € 1 775 € 21-23 18-20 25-27 15-17 27-29 17-19 8-10 16-18 14-16 18-20 16-18

Maîtriser les situations de communication orale de l’auditeur 2 j 1 050 € 1 150 € 24-25 21-22 28-29 18-19 30-31 20-21 11-12 19-20 17-18 21-22 19-20

Réussir les écrits de la mission d’audit 2 j 1 050 € 1 150 € 28-29 25-26 25-26 22-23 30-31 24-25 11-12 23-24 21-22 25-26 19-20

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 525 € 1 675 € 30-01/02 20-22 15-17 25-27 4-6

Désacraliser les systèmes d’information 3 j 1 525 € 1 675 € 27-29 3-5 25-27 16-18

Détecter et prévenir les fraudes 2 j 1 050 € 1 150 € 27-28 24-25 26-27 23-24 23-24 2-3

Le management

Piloter un service d’audit interne 2 j 1 300 € 1 450 € 16-17 23-24 15-16

Manager une équipe d’auditeurs au cours d’une mission 1 j 685 € 770 € 25 4 29

L’audit interne dans les petites structures 1 j 685 € 770 € 18 28 1

Balanced Scorecard du service d’audit interne 1 j 685 € 770 € 22 19 15

Le suivi des recommandations 1 j 685 € 770 € 18 11 14 30 18

Préparer l’évaluation externe du service d’audit interne 2 j 1 300 € 1 450 € 20-21 13-14 25-26

L’audit interne, acteur de la gouvernance 1 j 685 € 770 € 12 14

Audit interne, contrôle interne et qualité : les synergies 1 j 685 € 770 € 19 17 7

Les audits spécifiques

Audit du Plan de Continuité d’Activités - PCA 2 j 1 300 € 1 450 € 26-27 25-26 19-20

Audit de la fonction Comptable 2 j 1 300 € 1 450 € 15-16 17-18

Audit de performance de la gestion des Ressources Humaines 3 j 1 525 € 1 675 € 23-25 27-29

Audit de la fonction Achats 2 j 1 300 € 1 450 € 12-13 13-14 23-24

Audit des Contrats 1 j 685 € 770 € 1 3 14

Audit de la fonction Contrôle de Gestion 2 j 1 300 € 1 450 € 28-29 25-26

Audit de la Sécurité des Systèmes d’Information 2 j 1 300 € 1 450 € 20-21 26-27

Audit des Processus Informatisés 2 j 1 300 € 1 450 € 17-18 11-12

Audit de la Conformité à la Législation Sociale 2 j 1 300 € 1 450 € 25-26 21-22

Audit du Développement Durable 2 j 1 300 € 1 450 € 29-30 3-4

Audit des Projets et Investissements 2 j 1 300 € 1 450 € 9-10 27-28

SE FORMER DANS LE SECTEUR PUBLICLe contrôle interne dans le secteur public 2 j 1 300 € 1 450 € 14-15 15-16 9-10 14-15

Pratiquer l’audit interne dans le secteur public 4 j 1 950 € 2 150 € 26-29 17-20 8-11 10-13

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIERLe contrôle permanent et la conformité dans le secteurbancaire et financier 3 j 1 525 € 1 675 € 5-7 18-20 11-13

Pratiquer l’audit interne dans une banque ou un établissementfinancier 4 j 1 950 € 2 150 € 10-13 23-26 16-19

SE FORMER DANS LE SECTEUR DES ASSURANCESLe contrôle interne dans le secteur des assurances 2 j 1 300 € 1 450 € 7-8 21-22 5-6 21-22

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 950 € 2 150 € 19-22 24-27 15-18 3-6

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCEAudit de la gestion des stocks et de la logistique 2 j 1 300 € 1 450 € 30-31 1-2

Audit du processus de ventes 2 j 1 300 € 1 450 € 3-4 24-25

ACQUÉRIR UNE CERTIFICATION Voir notre site internet : www.ifaci.com

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

Nouveau

Nouveau

Nouveau

Nouveau

1

FICHE TECHNIQUE

juin-juillet 2013 - FICHE TECHNIQUE N°45 - Audit & Contrôle internes

La diffusion des résultatsimplique un partage clairdes responsabilités

La charte d’audit interne LaSer rappelle les principes d’engage-ment, de confidentialité, de déontologie et précise les responsa-bilités et missions du service au sein du groupe. La diffusion desrésultats fait l’objet de modalités claires et précises, comme lepréconise la norme 2440.

Diplômé de l'ESC Bordeaux en

1997, Steeve Bensoussan intègre

la direction commerciale du

groupe LaSer. Après 10 années à

différents postes, il rejoint l'audit

interne en septembre 2006 comme

auditeur. Depuis mi-2011 il est

responsable du pôle support et

méthodes.

Steeve Bensoussan

Responsable support et méthodes,audit interne, LaSer

Revue « Audit & Contrôle internes » : La norme 2440, concernant

la diffusion des résultats, a été révisée en 2013. Elle réaffirme la respon-

sabilité du responsable d’audit interne en matière de revue et d’approba-

tion du rapport. Quel est le processus d’élaboration du rapport d’audit

au sein de votre établissement ?

Steeve Bensoussan : L’organisation du service permet un processus

d’élaboration du rapport simple et efficace. Notre service, directe-

ment rattaché à la direction générale du groupe, comprend trente

collaborateurs. Il est organisé en 5 pôles : deux couvrent la France,

deux l’international et un pôle support et méthodes que je manage.

Rattaché au responsable de l’audit interne du groupe, chaque chef

de mission, responsable d’un pôle, gère une équipe d’auditeurs.

2

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°45 - juin-juillet 2013

Les missions d’audit se font avec un ou plusieurs

auditeurs en fonction du thème et de la nature de la

mission (conformité, efficacité…). Chacun des audi-

teurs rédige la partie dont il a la charge, et la soumet

à son chef de mission, pour validation. Ce dernier,

après s’être assuré que l’ensemble est coordonné et

cohérent entre les différents domaines ou thèmes

analysés par les auditeurs, consolide les parties du

rapport d’audit, et rédige le rapport de synthèse. Une

fois le rapport rédigé, le chef de mission le remet au

responsable de l’audit interne qui le valide avant diffu-

sion. Le responsable de l’audit interne a donc une

vision exhaustive des rapports d’audit.

Pour les missions d’audit d’efficacité, il est établi un

rapport de synthèse et un rapport détaillé ; pour des

missions de conformité, un seul rapport est produit.

A&CI : Le manager opérationnel intervient à quel niveau,

à quel moment ? Quel est son droit de regard ?

S. B. : En amont de la finalisation du rapport nous

échangeons beaucoup. Après une première phase de

rédaction du rapport, un projet est présenté oralement

au manager opérationnel audité. A cette occasion

nous nous mettons d’accord sur les différents

constats, les recommandations émises, et nous nous

calons sur des bases identiques afin d’éviter des inco-

hérences à réception de la version finalisée du rapport.

Le chef de mission participe aux débriefs intermé-

diaires, moments clefs dans la mission d’audit et

assure le dernier débrief au responsable de l’entité

auditée. Ces derniers échanges permettent au chef de

mission de finaliser son rapport, validé par le respon-

sable du service audit interne.

Les managers audités et le responsable d’entité ont

deux semaines pour nous faire un retour écrit avec

leurs remarques et leurs commentaires. En fonction

des constats d’audit, nous les prenons en compte ou

pas dans la version définitive du rapport d’audit. Ce

rapport est envoyé à la direction générale et au

membre du comité exécutif, responsable de l’entité

auditée. Le directeur de la conformité reçoit systéma-

tiquement les rapports émis. En complément du

rapport, le responsable de l’audit interne présente, au

directeur général, ses conclusions, assisté du chef de

mission concerné.

A&CI : Quelle est la visibilité, donnée aux actionnaires

du groupe LaSer, sur les rapports d'audit ?

S. B. : En complément de nos interventions ponc-

tuelles à chaque conseil d'administration LaSer, un

comité d'audit se réunit deux fois par an. Lors des

présentations en comité d'audit, nous avons en

support le rapport du contrôle interne (CRB 97-02)

pour la partie audit interne dans lequel sont intégrées

les synthèses des rapports d'audits réalisés pendant la

période. En parallèle, les actionnaires peuvent

toujours demander le détail d'un rapport.

A&CI : Comment les responsabilités du RAI sont-elles

décrites dans le guide de procédure de l’audit interne ?

Comment sont-elles mises en œuvre ?

Y a-t-il des cas exceptionnels comme les missions de

conseil ? Comment cela se passe-t-il ?

S. B. : Nous disposons d’une charte d’audit interne,

où sont précisés notamment les responsabilités des

différents intervenants, nos engagements, nos

missions, etc. Dans cette charte, nous rappelons nos

principes d’engagement, de confidentialité et de

déontologie.

En parallèle, à l’usage des audités, notre procédure sur

la conduite d’une mission d’audit interne, explique le

principe, les modalités, les processus, etc.

Nous n’effectuons pas de missions de conseil. Nous

faisons de l’audit interne avec des missions d’audit

3juin-juillet 2013 - FICHE TECHNIQUE N°45 - Audit & Contrôle internes

d’efficacité et de conformité. Cependant dans le cadre

d’une mission d’audit dite d’efficacité, nous pouvons

être amenés à émettre des recommandations sur la

base de « best practices » constatées ailleurs, dans d’au-

tres départements ou dans d’autres filiales.

En complément de ces missions, nous réalisons des

« missions spéciales », à la demande du directeur

général, sur un risque identifié, une fraude interne ou

une anomalie détectée.

A&CI : Une mission de conseil, ce peut être également

d’apporter ses conseils dans l’élaboration d’un nouveau

projet ; l’audit interne est consulté en amont,

pour prévoir des garde-fous, et donner

son avis sur la faisabilité du projet,

sur les orientations à prendre...

S. B. : L’audit interne ne peut

pas être juge et partie. Cepen-

dant, comme évoqué précé-

demment, nous apportons des

recommandations pendant une

mission d’audit basées sur des « best

practices » constatées au sein du groupe

lors de précédents audits. Nous ne le faisons que dans

ce cadre là. Sur un nouveau projet ou un nouveau

produit l’audit interne ne donne pas de conseils, sauf

s’il est en période d’audit sur le processus concerné.

A&CI : Donc l’audit intervient davantage a posteriori.

S. B. : Exactement.

En amont, c’est la direction des affaires juridiques et

la direction de la conformité qui interviennent sur la

partie conseil. Notre activité est très réglementée. Ces

deux directions apportent leurs conseils, donnent un

avis sur les nouveaux produits, les nouvelles activités,

et alertent sur les éventuels risques à ne pas prendre.

A&CI : Nous avons évoqué les formats de communication

orale et écrite : synthèse, rapport détaillé, etc. L’intervention

du RAI diffère-t-elle selon les formats ? Par exemple, il n’y

a pas de revue et d’approbation de slides lors de la réunion

de clôture. Pour certaines missions sensibles, le rapport est

diffusé exclusivement à la direction générale…

S. B. : L’intervention du responsable de l’audit interne

ne diffère pas selon les missions. Il valide l’ensemble

des rapports d’audit définitifs avant diffusion et parti-

cipe également au débriefing final. Lors du débriefing

final, c’est le chef de mission qui fait le débriefing, en

coordination avec le responsable de l’audit interne qui

y assiste.

A&CI : Qui décide des destinataires

internes et externes du rapport ?

S. B. : Il existe une matrice

interne qui précise les règles

de diffusion. Le rapport défini-

tif est remis à la direction géné-

rale et responsable de l’entité

auditée.

Pour les diffusions externes, c’est le respon-

sable de l’audit qui prend la décision.

A&CI :Votre service émet-il des opinions sur le niveau de

contrôle interne ? Si oui, ces opinions sont-elles émises pour

chaque mission ? A qui sont destinées ces opinions ? Quel

est le rôle du RAI ?

S. B. : Systématiquement, dans tous nos audits, nous

auditons le dispositif de contrôle interne. Notre lettre

de mission fait généralement état de trois objectifs ;

l’un de ces trois objectifs est obligatoirement l’audit

du dispositif de contrôle, associé au processus, au

département ou à la filiale, selon le cas.

Nous avonsun processus d’élaborationdu rapport d’audit simple

et efficace.

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°45 - juin-juillet 20134

A&CI : La nouvelle version du COSO réitère le rôle de

l’audit interne dans l’évaluation périodique du contrôle

interne. Comment êtes-vous organisés pour assumer cette

responsabilité ?

S. B. : La direction de la conformité LaSer a développé

ce que l’on appelle des dispositifs de maîtrise des

risques (DMR), basés sur une cartographie des risques

par processus, filiale, etc.

Chaque risque identifié donne lieu à la mise en place

d’un DMR ; c’est un ensemble d’outils qui permettent

de couvrir ce risque ; ce sont des contrôles de niveau

1, des contrôles de niveau 2, des reportings, des comi-

tés de pilotage, de la documentation, des procédures,

etc. Cette méthodologie est déployée à l’échelle du

groupe.

Pendant nos audits, nous nous assurons donc de la

solidité du dispositif de contrôle interne existant.

En parallèle, nous essayons d’identifier les risques

potentiels des process audités à l’aide de notre propre

cartographie des risques.

A&CI : Et quand il n’y a pas de DMR, êtes-vous force de

proposition ?

S. B. : Absolument. Et nous allons dans le détail du

dispositif de maîtrise des risques, tant pour les

contrôles de niveau 1 que pour ceux de niveau 2, la

documentation, les outils de pilotage …

LaSer, filiale du groupe Galeries Lafayette et

BNP Paribas Personal Finance, est une société

de services qui développe pour le compte

d’enseignes ou de marques, des solutions

dans l’univers du paiement, de la fidélité et

des services financiers notamment au travers

de sa marque grand public Cofinoga.

Implantée en Europe, LaSer accompagne ses

partenaires dans l’évolution des modes de

consommation en leur mettant à disposition

son expertise en matière d’acquisition et de

fidélisation clients.

Chiffres-clés fin 2012 en Europe

1,2 milliard € de chiffre d'affaires

5 219 collaborateurs

10,9 milliards € d’encours gérés

20 millions de cartes diffusées

LE NOUVEAU COSO - Chapters Site revue... · o n c e p t i o n: e b z o n e c o m m u n i c a t i o...

Documents

Transcript of LE NOUVEAU COSO - Chapters Site revue... · o n c e p t i o n: e b z o n e c o m m u n i c a t i o...