LES RÉPONSES DE L'AUDIT INTERNE AUX ATTENTES DES ...

l a r e v u e d e s p r o f e s s i o n n e l s d e l ’ a u d i t , d u c o n t r ô l e e t d e s r i s q u e s

Dans l’actualité

Alitalia, Finmeccanica, Riva, Monte

Paschi : des idées pour les comités

d’audit ?

Idées et débats

L’auditeur interne face à

l’émergence de « l’informatique

mobile »

International

Ce que l’avenir nous réserve

Mémoire d’étudiant

Guide d’audit de la mise en

conformité du middle office des

dérivés de gré à gré : Nouvelle

règlementation EMIR

Fiche technique

>> « Gérer efficacement lesidentités et les accès »

N°216Septembre-Octobre 2013

LES RÉPONSES DE L’AUDITINTERNE AUX ATTENTESDES PARTIES PRENANTES

Marquez des points ...avec la nouvelle certificationprofessionnelle

Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plusparticulièrement votre capacité à :

évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ; sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des

risques ; vous centrer sur les risques stratégiques de l’organisation ; apporter encore plus de valeur ajoutée à votre organisation.

Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelledans les cinq domaines couverts par la certification CRMA™, et titulaire de di-plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesurede faire une demande de REP en vue d’obtenir la certification CRMA™.

POUR EN SAVOIR PLUS ...

Rendez-vous sur le site internet de l’IFACI (www.ifaci.com)à la rubrique « Carrière + Diplômes ».

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Pat

y W

ingr

ove

- Fot

olia

.com

3sept./oct. 2013 - Audit & Contrôle internes n°216

La revue des professionnels de l’audit,du contrôle et des risques

n°216 - sept./oct. 2013

EDITEURInstitut Français de l’Audit et du Contrôle Internes (IFACI)Association Loi 190198 bis, boulevard Haussmann75008 Paris (France)Tél. : 01 40 08 48 00 Mel : [email protected] : www.ifaci.com

DIRECTEUR DE PUBLICATIONFarid Aractingi

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

RÉDACTION - RÉVISIONJean-Loup Rouff - Béatrice Ki-Zerbo

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 01 40 08 48 02Mel : [email protected]

RÉALISATIONEBZONE Communication32, avenue de Beauregard94500 Champigny-sur-MarneTél. : 01 48 80 00 56Mel : [email protected]

IMPRESSIONImprimerie de ChampagneRue de l’Etoile de Langres - ZI Les Franchises52200 Langres

ABONNEMENTElsa Sarda - Tél. : 01 40 08 47 84Mel : [email protected]

Revue bimestrielle (5 numéros par an)ISSN : 2117-1661CPPAP : 0513 G 83150Dépôt légal : octobre 2013Photos couverture : © Dmitry - Fotolia.com

Prix de vente au numéro : 25 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle, faitesans le consentement de l’auteur, ou de ses ayants droits, ou ayantscause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que cesoit, constituerait une contrefaçon sanctionnée par les articles 425et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

L’audit interne doit répondre aux attentes deses parties prenantes qui sont, pour l’essentiel,la direction générale et le comité d’audit

même si les audités, les auditeurs externes, et lesautorités de supervision sont des parties prenantes àne pas sous-estimer.

La norme 1110 de la profession édicte que « le respon-sable de l’audit interne doit relever d’un niveau hiérar-chique suffisant au sein de l’organisation pour permettre au service d’audit interned’exercer ses responsabilités », et de recommander un double rattachement à la direc-tion générale et au comité d’audit.

Dans le dossier du présent numéro, la direction générale apparaît très largementdominante. Pour le groupe Arcade, important groupe immobilier, et le Secrétariatgénéral pour l’administration du Ministère de la Défense, il n’existe pas, à propre-ment parler, de comité d’audit. Le responsable de l’audit interne de cette dernièrestructure s’en émeut et n’hésite pas à faire des propositions innovantes pour fairebouger les lignes. Pour le groupe AG2R La Mondiale, un double rattachement existemais la direction générale reste la partie prenante la plus importante comme celaest observé le plus souvent en France.

On peut, peut-être, regretter l’absence dans certaines organisations de véritablecomité d’audit auprès duquel l’audit interne aurait des relations étroites et régulièrescomme le recommande la prise de position IFA / IFACI de 2009. Mais cette absencene signifie pas, pour autant, qu’il est moins indépendant et que son impact estmoindre sur la maîtrise des risques de l’organisation. On peut toutefois penser quesa tâche serait grandement facilitée si un tel comité existait.

L’interview de Philippe Lagayette, que je vous recommande de lire avec la plusgrande attention, est là pour le confirmer. Président du comité d’audit du groupeRenault, il nous décrit son expérience et son vécu, et nous fait part des qualités quedevrait avoir tout directeur d’audit interne. Premièrement, il doit être compétentdans le domaine de l’audit ; deuxièmement, avoir une bonne connaissance de l’en-treprise ou qu’il apprenne à la connaître rapidement ; troisièmement, il doit distin-guer l’important du moins important si non on peut ne pas projeter sur lemanagement des messages clairs et centrés sur l’essentiel, ce qui suppose un esprittourné vers l’efficacité ; quatrièmement, il faut qu’il fasse preuve de caractère etsache résister aux pressions le cas échéant… ; et quand il s’est fait une opinion, ildoit l’exposer d’une façon simple et claire pour être certain d’être bien compris.

En quelques mots, tout est dit et je vous laisse méditer ces propos.

Bonne lecture.

Les réponses de l’auditinterne aux attentesdes parties prenantes

Louis Vaurs - Rédacteur en chef

Contactez-nous :Tél. : 01 44 70 63 00

E-mail : [email protected]

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Jaku

b Ce

jpek

- Fo

tolia

.com

Votre engagement pour+ de bonnes pratiques

+ de performance+ de légitimité

+ de sécurité

Progressez surdes bases solides

Le label de qualité et de performance CertificationIFACI est délivré aux services d'audit interne quiappliquent de façon pérenne les trente exigencespragmatiques du Référentiel Professionnel del'Audit Interne.


SOMMAIRE

DANS L’ACTUALITÉ DOSSIER

Les réponses de l’auditinterne aux attentes de sesparties prenantes

Alitalia, Finmeccanica, Riva, MontePaschi : des idées pour les comitésd’audit ?Antoine de Boissieu

6

p. 17 à 34

Comment l’audit interne d’Arcade satisfait-illes attentes diverses et parfois de nature différentedes parties prenantes du groupe ?Jean-Marc Pluzanski

25

Ce qu’attend de l’audit interne un présidentde comité d’auditPhilippe Lagayette

18

Le contrôle interne au ministère de la Défense :une organisation spécifiqueJean-François Charbonnier

29

Comment répondre au mieux aux attentesdes parties prenantes de l’audit interne d’AG2RLa Mondiale ?Eric Burlot

32

L’audit interne : une fonction exigeante aux multiplesfacettesBenoît Harel

23

INTERNATIONAL

Ce que l’avenir nous réserveGraig Guillot

12

MÉMOIRE D’ÉTUDIANT

Guide d’audit de la mise en conformitédu middle office des dérivés de gré àgré : Nouvelle règlementation EMIRLoïc Kerboas

35

IDÉES ET DÉBATS

L’auditeur interne face à l’émergencede « l’informatique mobile »Jean-Claude Hillion

8

LA PROFESSION EN MOUVEMENT

Evénements37Lu pour vous38

FICHE TECHNIQUE N°46

>> « Gérer efficacement les identités et les accès »Olivier Sznitkies

6

DANS L’ACTUALITÉ

Audit & Contrôle internes n°216 - sept./oct. 2013

Alitalia, Finmeccanica, Riva,Monte Paschi : des idées pourles comités d’audit ?Antoine de Boissieu - Associé-gérant, OSC Solutions

L’actualité nous fournitplusieurs exemples desociétés italiennes

prestigieuses en proie à desérieuses difficultés.

Alitalia est en quasi-faillite,pour la seconde fois depuis2008, malgré des années derestructurations. Un nou-veau plan de sauvetage doitêtre monté.

Finmeccanica, le géant ita-lien de l’industrie aéronau-tique et de défense, connaîtdes difficultés en chaîne :annulation pour corruptiond’une vente d’hélicoptères àl’armée indienne, accusationde réseaux de caisses noiresen Afrique passant par unfinancier notoire de la mafia,problèmes de qualité sur desTGV livrés par sa filialeAnsaldo (et finalement refu-sés par les clients, qui ontannulé la commande),démission et mise en exa-men de deux PDG en 2 ans.A cela s’ajoutent des pro-blèmes stratégiques, legroupe n’ayant sans doutepas la taille critique danscertaines activités (énergie,construction aéronautique,spatial, transports…), etdeux années consécutives depertes. Prises individuelle-

ment, ces difficultés ne sontpas différentes de ce qui sepasse ailleurs, mais c’estl’accumulation sur unecourte période qui est frap-pante.

Le groupe Riva est peuconnu en France : c’est unesociété familiale, le 4èmesidérurgiste en Europe avec20 000 employés et11 Mrd € de CA. Son aciériegéante de Tarente, quicompte 12 000 employés, estpartiellement fermée depuis2012 pour des problèmes depollution. La justice italiennevient de mettre sous séques-tre 8 Mrd d’actifs du groupepour faire face au passifenvironnemental ; ses diri-geants ont été mis en exa-men.

Monte dei Paschi di Siena,enfin, est la plus vieillebanque encore en activité,avec plus de six sièclesd’existence. Elle est contrô-lée par une fondation muni-cipale. Elle se trouve désor-mais au bord de la faillite àla suite d’opérations spécu-latives ratées, dissimuléesjusqu'à ce que la crise finan-cière de 2012 ne permetteplus de les cacher.

Analysons rapidement lespoints communs entre cessituations à priori très diffé-rentes.Rétrospectivement, il appa-raît que toutes ces sociétésont suivi une stratégie inte-nable ou très risquée. Cettestratégie a été validée, voireimposée, par les conseilsd’administration. Le conseilet la direction générale ontsouvent fonctionné trop enosmose : pour des raisonscapitalistiques chez Riva, quiest une société familiale ;pour des raisons de consan-guinité chez Monte Paschi,Alitalia et Finmeccanica.Pour ces dernières, diri-geants et administrateursétaient issus des mêmesmilieux politico-économi -ques, avec un tissu de lienspersonnels où s’entremê-laient intérêts privés etpublics, économiques etpolitiques.

Ce contexte a pesé dans lesmécanismes de prise dedécision, en imposant lemaintien ou le développe-ment en Italie d’activitésnon rentables ou trop ris-quées.

Ainsi, chez Alitalia, jusqu’en2008, le monde politique et

économique a imposé lemaintien de 2 hubs à Romeet Milan, des activitéscourt/moyen/long courrier,d’un réseau d’escales ita-liennes surdimensionné etsous-productif : cette straté-gie a pesé sur la rentabilitéde la compagnie dès qu’il ya eu ouverture du marché.Alitalia n’a donc pas pu êtremoteur dans les mouve-ments de consolidation dusecteur depuis 2005, et a faitune première fois faillite en2007/2008.

Finmeccanica, dont le pre-mier actionnaire est l’étatitalien avec le tiers du capi-tal, est présente dans denombreuses activités1 dansles secteurs de pointe. Elleemploie 60% de son person-nel, soit près de 40 000 per-sonnes, en Italie. Là encore,il y a eu une volonté poli-tique de maintenir un largespectre d’activités en Italie,pour des raisons de souve-raineté, de prestige, d’in-fluence, de pouvoir (uneactivité = une filiale avec unPDG, un conseil d’adminis-tration, des dirigeants, unsiège social, etc.). Les joint-ventures ou anciennes joint-ventures de Finmeccanicaavec des partenaires étran-


gers (hélicoptères, missiles,satellites, avions de transportrégionaux), sont d’ailleurssouvent les branches les plusinternationalisées et les plusrentables du groupe ; ce sontaussi celles où le pouvoir estpartagé et dont la stratégiesubit le moins d’influencesextérieures. Les cessionsd’activités ont désormaiscommencé, largementcontraintes par la baisse descommandes militaires et lesdifférentes affaires fragilisantle groupe. Mais, pendant desannées, il y a eu l’impressionque Finmeccanica était tropgrosse, trop puissante, pourêtre menacée, et pouvaitcontinuer sa stratégie multi-activités tout en maintenantune forte implantation enItalie.

Le groupe Riva est resté trèseuropéen, avec la majeurepartie de sa production enItalie, alors que ses concur-rents (ArcelorMittal, Tata/Corus, Thyssen) s’internatio-nalisaient pour échapper à lamorosité du marché euro-péen et rester compétitifs surune large gamme de pro-duits (et pas seulement surle milieu/haut de gamme).Cette internationalisationn’est d’ailleurs pas unegarantie de réussite, commel’illustrent les récents inves-tissements ratés de Thyssenqui cherche à revendre troisaciéries neuves au Brésil etaux USA, qui lui ont coûté10 Mrd €. Toujours est-il queRiva a mis tous ses œufsdans le même panier, enl’occurrence son aciérie deTarente. Sa production étaitde 11 Mt, soit les 2/3 de laproduction du groupe2. Lesproblèmes de pollution del’aciérie de Tarente étaientconnus depuis longtemps, etil aurait fallu consentir degros investissements pour lamettre aux normes, dans un

contexte de baisse du mar-ché européen. La direction achoisi de ne pas le faire, lepoids de l’aciérie dans l’éco-nomie locale donnant sansdoute une impression d’im-punité. La justice italienne amis fin au système.

Au début des années 2000,Monte dei Paschi di Sienaétait une petite banque. Ellea suivi une stratégie de crois-sance risquée, en se lançantdans une vague d’acquisi-tions qui a culminé par lerachat d’Antonveneta en2007, pour 10 Mrd €, soitdeux fois plus que les esti-mations de l’époque. Cettecroissance, payée au prixfort, a abouti à une fortediversification des activités,la banque souhaitant êtreprésente sur tous les cré-neaux pour concurrencer lesgrandes banques généra-listes. Or, même après cettevague d’acquisitions, MontePaschi restait 3 ou 4 fois pluspetite que ses principauxconcurrents, Unicredit et

Intesa San Paolo. Elle n’avaitni les moyens, ni l’expé-rience, ni les compétences,ni la taille critique, pour réa-liser et contrôler efficace-ment une palette d’activitésaussi larges et, pour cer-taines, aussi récentes.

On pourrait trouver dessimilitudes entre ces sociétésitaliennes et certaines socié-tés françaises. Ces exemplespourraient donc inspirer descomités d’audit à qui l’on vabientôt demander de sepencher sur le plan d’audit2014. Trois axes d’auditpourraient ainsi être envisa-gés :

1. auditer la stratégie :comment se compare-t-elle à celle des concur-rents, et comment justifie-t-on les grosses diffé-rences ? A-t-on validé quel’on a les moyens de lamener à bien ?

2. auditer les activités pourlesquelles on n’a pas la

taille critique : est-on sûrque l’on a les compé-tences, l’expériencerequise ? Que l’on estcapable de les contrôlercorrectement ?

3. enfin, demander unaudit du conseil d’admi-nistration et des organesde gouvernance pourraits’avérer utile. Un simplebenchmark permettant depositionner la société parrapport à un référentielinternational peut déjàmettre en évidence deslacunes.

1 Hélicoptères, aéronautique civileet militaire, construction ferro-viaire, signalisation ferroviaire (lemême marché mais pas du toutle même métier), satellites, mis-siles, torpilles, énergie…

2 A titre de comparaison, la Franceproduit 15,5 Mt d’acier par an.

© a

lpha

spir

it -

Foto

lia.c

om

8

IDÉES ET DÉBATS


L’emploi de terminaux mobiles(ordinateurs portables et organi-seurs, smartphones et autres

tablettes, ainsi que les supports d'infor-mation et les accès au réseau qui leursont associés) est en constante augmen-tation, tant dans la sphère privée, queprofessionnelle. L’origine de cette situa-tion réside, à l’évidence, dans le fait queleur mise en œuvre est facilitée par unemultitude de services d’information etde communication, très souvent sousforme d’applications intégrées. L’audi-teur interne ne peut ignorer plus long-temps ce phénomène.

Les appareils et les services proposésdisposent déjà de fonctions de sécuritéintégrée. Cependant, en cas de perte oude vol d’un appareil, celles-ci se révèlenttrès (trop) souvent insuffisantes pourprotéger efficacement les donnéesconfidentielles (à caractère personnel ousensibles à l’égard de l’entreprise)stockées sur ces équipements. Ilconvient donc de mettre en œuvre desmesures de sécurité supplémentaires –

techniques et/ou organisationnelles –lors de l’utilisation de terminauxmobiles.

Les risques induits parl’informatique mobile

Perte d’informations de l’entreprise

Les terminaux mobiles sont particuliè-rement concernés par la perte ou le vol.Pour les entreprises, au-delà des risquesintrinsèques liés à la protection des don-nées, il existe aussi un risque d’imagedans la mesure où la mémoire internedu terminal mobile contient desadresses, des e-mails et leurs piècesjointes, ainsi que des rendez-vous, desnotes confidentielles, etc.

Un usage professionnel conduit austockage d’informations concernant, parexemple des clients, des produits, voiredes données relatives à des appels d'of-fres. De surcroît, sont conservés, pardéfinition, les identifiants et mots depasse associés, permettant d’accéder

directement au réseau de l’entreprise(synchronisation de méls, applicationsweb, notamment).

Or, face au risque que ces informationssoient divulguées intempestivement, sile terminal mobile tombe entre lesmains de tiers malintentionnés, les dis-positions de protection mises en places’avèrent, la plupart du temps, trèsinsuffisantes pour résister efficacementau savoir technique dont dispose ledittiers averti et malintentionné.

Tandis que les normes de sécurité pourles ordinateurs utilisés dans l’entrepriseimposent un verrouillage complet(authentification « pré-boot » – avantdémarrage), on ne retrouve pas ceniveau de protection pour les smart-phones. C’est ainsi que, si pour ces der-niers le système d'exploitation livré avecl’équipement propose une fonction d’ef-facement à distance (« remote wipe »), ledélai susceptible de s’écouler entre laperte et la mise en œuvre effective de laprocédure d’effacement, voire tout sim-plement son efficacité réelle, laisse, defait, le temps à un pirate de copier lesdonnées de l'appareil avant que celle-cin’intervienne.

Absence de contrôle des fluxd'information échangés via lesdispositifs de connexion du terminal

Les terminaux mobiles sont dotés dediverses techniques, tel que Bluetooth,

L’auditeur interneface à l’émergencede « l’informatique mobile »Jean-Claude Hillion - Inspecteur général honoraire de la Banque de France

Avec l’arrivée de l’informatique mobile, il est indispensable de réviser les stratégieset les concepts de sécurité, et le cas échéant les modifier.Par principe, la pertinence des orientations prises en matière d’emploi de technolo-gies, comme les terminaux mobiles, ne relève pas, en tant que telle, de la missionde l’audit. En revanche, les auditeurs internes se doivent d’analyser l’adéquation desoptions retenues, en regard de l’exposition aux risques qui en résulte et d’évaluer laqualité des dispositifs de maîtrise de ces risques.


WLAN et USB, pour se connecter loca-lement. Or, quand les liaisons utiliséespar des collaborateurs ne sont pas ver-rouillées (par exemple Hot Spot / Pointd’Accès public), des tiers non autoriséspeuvent prendre connaissance d’infor-mations professionnelles confiden-tielles, voire de données permettant l’ac-cès au réseau de l'entreprise. Cette der-nière peut, d’ordinaire, protéger l'accèsd’un terminal mobile au réseau de l'en-treprise en autorisant uniquement lacommunication via un canal verrouillé(par exemple SSL/TSL ou VPN) avecune authentification réciproque desdeux terminaux. Mais, lorsque des col-laborateurs utilisent un processus desynchronisation à travers des interfaceslocales, des données concernant l'entre-prise se trouvant sur leur terminalmobile peuvent être transférées dans un

environnement insuffisamment sécu-risé. Le même risque existe lorsque descollaborateurs sauvegardent ou dés-tockent des données à partir de leur ter-minal mobile grâce à des services desauvegarde proposés sur internet (parex. services « Cloud Backup »).

Risque de conformité dansl’élaboration de profils de trajet via lerécepteur GPS

Des informations locales peuvent êtremises à la disposition de l'utilisateur viala localisation de son smartphone, parexemple sur les applications de naviga-tion, guides de restaurants, appel de taxi,etc. En règle générale, il est demandé àl'utilisateur lors de l'installation de tellesapplications, de débloquer l'utilisationdu récepteur GPS. Dans ce cas, il est

nécessaire de respecter les dispositionslégales relatives à la protection des don-nées personnelles. Cette règle s'ap-plique également à l'emploi planifié durécepteur GPS en vue d'élaborer desprofils de trajet de collaborateurs, parexemple en vue de contrôler leurs per-formances.

Hameçonnage via les services decommunication

Les pirates / hackers peuvent usurperl’identité d'un utilisateur (notammentdes personnes-clés de l'entreprisesciemment visées) par le biais de faux e-mails ou de SMS, ou encore de la mes-sagerie instantanée, afin d’accéder auxinformations sécurisées se trouvant surun terminal mobile. En particulier, detelles communications (« hameçon-

© bloom

ua - Fotolia.com

10

IDÉES ET DÉBATS


nage ») visent à obtenir du destinatairequ’il envoie ses données d'accès secrètesvers une page Web falsifiée. (NDT : Eneffet, les données stockées sur un smart-phone sont, aujourd’hui, moins bien pro-tégées que celles stockées sur un PC ;ainsi, par exemple, les dispositifs decryptage sont peu déployés sur lessmartphones. En complément, onconstate, à l’utilisation, que la vigilancedu détenteur d’un smartphone est plusfaible que lorsqu’il traite les mêmesdonnées sur son PC).

Introduction clandestine de logicielsmalveillants (« malwares »)

Avec leurs différentes interfaces de com-munication et de services (clef USB,Bluetooth, SMS ou MMS, et même lesméls…), via le navigateur d’accès (télé-chargement), les terminaux mobilesoffrent différentes voies de pénétrationaux logiciels malveillants. Face à cettemenace, il n'est pas possible de réaliserpour les smartphones, a contrario des PCet des ordinateurs portables, un systèmede protection en plusieurs couches,composé par exemple d’un anti-mal-ware, d’un anti-spam et d’un filtre URL.Dans ce contexte, il n’est pas étonnantde constater une augmentation dunombre de logiciels malveillants sur lessmartphones. En outre, l’implantationd’un logiciel de sécurité spécifique quin'émanerait pas du constructeur lui-même, s’avère impossible en regard dela diversité des systèmes d’exploitationexistants. (NDT : En effet, les construc-teurs de solution de sécurité, dont l’effi-cacité repose sur une connaissance finedu code et de l’architecture des systèmesd’exploitation (IOS / Androïd / WindowsMobile…), ne sont pas aujourd’hui enmesure de développer, et surtout demaintenir, des solutions efficaces sur desdizaines de version de ces systèmes,dont certains sont par ailleurs notable-ment instables.)

Contournement ou neutralisation desmécanismes de sécurité

La plupart des prestataires de servicessmartphone permettent seulement d'ins-

taller et d'exécuter des applications poursmartphones et tablettes (« apps ») certi-fiées, provenant de leur propre magasinen ligne (« App-Store »). Les utilisateurspeuvent toutefois contourner cette res-triction avec le mécanisme dit de« débridage » pour le système d'exploi-tation iOS (Apple), et de « routage »pour le système d'exploitation Androïd(Google), ce qui a pour effet de neutra-liser le système de sécurité installé parle fabricant. Une telle manipulation peutdonc provoquer des failles techniquesde sécurité qui faciliteront des prises decontrôle abusives des fonctions du ter-minal mobile par des logiciels malveil-lants et/ou des pirates / hackers.

Commande à distance des fonctionsdes appareils par des tiers

Les applications ont souvent accès auxidentifiants de l'appareil, aux donnéesde géolocalisation, aux e-mails etcontacts téléphoniques, au numéro decarte SIM et autres données à caractèrepersonnel, pour être transmis, à l’insu del’utilisateur, aux fabricants d'appareils,fournisseurs et bien autres services dediagnostic… Sur la base de cette faculté,il est possible, grâce à un logiciel mal-veillant, de transformer de manièrecachée le terminal mobile en une instal-lation d'écoute ou une caméra de sur-veillance. En l’absence de possibilitéd’installer de pare-feu personnel sur lessmartphones, iI est possible de suivre lesconversations en temps réel, et/ou de lesenregistrer sur un fichier afin de lesretransmettre ultérieurement, sans quele possesseur de l'appareil ne s’en rendecompte.

L'appareil mobile comme moyend’intrusion pour des pirates

Les collaborateurs de l'entreprise peu-vent se connecter au WLAN avec unsmartphone ou une tablette, et ainsi accé-der aux mêmes données qu’avec unappareil agréé par l'entreprise. Si laconnexion repose uniquement sur lecouple identifiant/mot de passe, c'est-à-dire sans identification renforcée, cesaccès peuvent permettre d’introduire un

logiciel malveillant dans le réseau del'entreprise. C’est le cas lorsque lessmartphones piratés sont synchronisésavec des ordinateurs insuffisammentprotégés des attaques de logiciels mal-veillants.

Les différentes réponsespouvant être apportéesaux enjeux de sécurité

Des solutions techniques

En raison des différents usages, dugrand nombre d'interfaces et de leur uti-lisation dans des environnements nonsécurisés, les terminaux mobiles doiventêtre sécurisés. Encore faut-il vérifier si,et dans quelle mesure, les solutions rete-nues sont appropriées.

Les vendeurs de terminaux mobileséquipent ceux-ci avec différentes fonc-tions de sécurité. Force est de remarquercependant que, même dans les der-nières versions livrées, aucun construc-teur ne propose de solution en matièred’exigences de sécurité, telle que anti-malware, anti-spam, filtre URL ou pare-feu personnel.

Il est toutefois possible de se procurerpour certaines plates-formes techniquesdes applications de sécurité du mêmefabricant, ou de vendeurs de logiciels desécurité, qui peuvent être mises en placelocalement. Ces produits de sécuritécontiennent en général les fonctionssuivantes : antivirus, protection antispam, protection du navigateur, listed’applications, protection contre le vol,etc. Cette dernière protection permetd'effacer toutes les données person-nelles à distance et de remettre l'appa-reil volé (ou égaré) avec son paramé-trage d’origine, de le bloquer ou de legéolocaliser.

Il existe des « profils de protection »(officiels) conformes aux standardsinternationaux pour la sécurité des sys-tèmes (Common Criteria). Ces profils deprotection peuvent servir de référence àune communication mobile sécurisée ;des smartphones appliquant ce standard


de sécurité sont déjà disponibles depuis2009. Le marché propose également dessystèmes pour la gestion des appareilsmobiles (Mobile Device Management –MDM). Parmi les prestations proposéesfigurent des services techniques en vuede transposer les exigences de la poli-tique de sécurité SI de l’entreprise surles terminaux mobiles. Certains fabri-cants de systèmes MDN livrent en plusune solution de sécurité autonome quisera installée localement sur le smart-phone, par exemple en tant qu'agent desécurité ou « sandboxing », qui permetune utilisation des services du smart-phone à titre professionnel séparémentde l'utilisation privée.

Du point de vue de la sécurité informa-tique, ces techniques de sécurité ontl'avantage de pouvoir faire face à plu-sieurs vecteurs d'attaque. Une telle solu-tion de sécurité doit toutefois être elle-même déployée de manière sûre.

Une stratégie de sécurité spécifique

Avec l’arrivée de l'informatique mobile,il est indispensable de réviser les straté-gies et les concepts de sécurité, et le caséchéant les modifier. En particulier, ence qui concerne les accès sécurisés à dis-tance au réseau de l'entreprise et auxapplications, la gestion des identitésprenant globalement en compte aussibien l’équipement informatique tradi-tionnel que celui de l'utilisateur (BringYour Own Device – BYOD), les processusde sécurité des appareils terminaux, lagestion à distance et la télédistributionde logiciels vers les terminaux (facultépour les DSI des entreprises, dedéployer à distance une solution logi-cielle sur l’ensemble d’une flotte de ter-minaux mobiles). En raison de leur courtcycle de vie, l’atteinte de ces objectifsnécessite une actualisation permanentedes options retenues.

Du point de vue de l'entreprise, il estnécessaire de déterminer à quel usageprofessionnel les terminaux mobilessont destinés. Il faut en particulier établirdans le projet d'application quelles don-nées seront mises à disposition ou sai-

sies via le terminal mobile, par quellesapplications centrales les donnéesseront produites ou traitées, ainsi que lesservices de terminaux mobiles et l'infra-structure informatique que cela nécessi-tera.

L'entreprise doit donc déterminer lesexigences de sécurité en fonction del'utilisation professionnelle prévue pourles terminaux mobiles. Ces exigencesdécoulent, d'une part de la valeur deprotection des données, d'autre part desmenaces existantes pour les terminauxmobiles au vu du large spectre des dif-férents vecteurs d'attaque, dont ilconvient de tenir compte en fonctiondes solutions de sécurité adéquates etproposées sur le marché.

Un grand nombre de vecteurs d'attaquene peuvent être contrés en se limitant àde simples mesures de sécurité, quelleque soit leur efficacité. L’adhésion dessalariés au dispositif, en particulier pource qui concerne les conditions d’accèsaux réseaux sociaux via le terminalmobile, est cruciale.

Quel positionnement pourl’audit interne ?

Par principe, la pertinence des orienta-tions prises en matière d’emploi detechnologies, comme les terminauxmobiles, ne relève pas, en tant que telle,de la mission de l'audit. En revanche, lesauditeurs internes se doivent d’analyserl’adéquation des options retenues, enregard de l’exposition aux risques qui enrésulte, et d’évaluer la qualité des dispo-sitifs de maîtrise de ces risques. En cesens, l'audit doit, non seulement appli-quer tous les critères liés à la sécuritéinformatique (Disponibilité, Intégrité,Confidentialité, Preuve – DICP), maiségalement ceux se rapportant à la fiabi-lité et la rentabilité, ainsi que, de façongénérale, l’ensemble du dispositif decontrôle interne.

En premier lieu, les mêmes exigences desécurité informatiques sont autantapplicables à l'informatique mobilequ’aux postes de travail « sédentaires ».

Ces exigences sont renforcées pour cequi concerne l’utilisation de terminauxmobiles, notamment dans des environ-nements externes au réseau protégé del’entreprise, qui les conduit à être expo-sés à des menaces vis-à-vis desquellesils sont aujourd’hui mal protégés (cf. ci-dessus).

L’usage de terminaux mobiles nécessitedes campagnes de sensibilisation préa-lables à destination des salariés concer-nés. Des règles précises accompagnantet complétant les mesures techniques desécurité. Ces règles d’utilisation doiventaborder, entre autres : le périmètre strictde l'utilisation, l’interdiction ou l’admis-sion d'une utilisation à titre privé ou del’utilisation d'appareils privés, les règlesde comportement et de sécurité et l’in-formation relative aux mesures d’admi-nistration à distance.

Issu de l’article Revisionsaspekte beimMobile Computing / Bernd Stolberg, et al. –Zeitschrift Interne Revision, pp. 280-288,Dezember 2012

L’IFACI tient à remercier le Groupe profes-sionnel « Systèmes d’Informations » présidépar José Bouaniche, auditeur interne, Caissedes Dépôts et Consignations, pour ses tra-vaux de relecture.

Lire aussi :• Revisionsaspekte beim Mobile

Computing / Bernd Stolberg, etal. – Zeitschrift Interne Revision,pp. 280-288, Dezember 2012

• Auditing the BYOD program. – inInternal auditor, February 2013

• Bring Your Own Device (BYOD)Security Audit/Assurance Pro-gram / ISACA. – 2012

• BYOD. – in Internal auditor,December 2012

12

INTERNATIONAL


Dans les dix années à venir, lesentreprises évolueront dansun environnement de plus

en plus compétitif où le pouvoir rési-dera dans la connaissance, et où lescapacités à changer et s'adapterseront essentielles. Avec la réductiondes marges sur les prix repères, les orga-nisations devront trouver des proposi-tions de valeur uniques pour se démar-quer de la concurrence. Elles devrontégalement mettre davantage l'accent surl'identification et l'anticipation desrisques inhérents à une activité dansl'économie mondiale, et sur le recours àdes technologies en constante évolu-tion. Dans ce contexte, les auditeursinternes auront probablement unrôle central à jouer pour aider lesdirigeants à identifier les risques, for-muler des solutions et se préparer àce que leur réserve l'avenir.

À l'heure où les organisations cherchentà prévoir et à anticiper les changementsqui les attendent, trois experts prospec-tifs – un expert en managementrenommé, un leader d'opinion dans ledomaine de la technologie et un respon-sable de l'audit interne du classementFortune 500 – livrent leurs points de vuesur l'avenir du monde des affaires et surcelui de la profession d'audit interne.

Tom Peters

Si le monde a rapidement évolué ces dixdernières années, le rythme risqueencore de s'accélérer dans les années àvenir. Selon Tom Peters, consultant enmanagement, co-auteur du best-seller InSearch of Excellence, nous sommesactuellement confrontés à une« mutation technologique sans précé-dent » et nous allons continuer d'êtreinondés de nouveaux appareils et denouveaux logiciels. Que ce soit àl'échelle de l'organisation ou du simpleemployé, les entreprises doivent s'adap-ter et apprendre en permanence. PourTom Peters, la technologie ne modifiepas seulement la manière dont noustravaillons, elle transforme l'ensemblede notre économie.Les robots ont commencé à remplacerles ouvriers industriels dans les années1980 et 1990, tandis qu'aujourd'hui,selon Tom Peters, les fonctionnalitésavancées des logiciels et ordinateurssupplantent davantage les « colsblancs ». De nos jours, même certainestâches d'analyse parmi les plus pointuessont réalisées par des algorithmes infor-matiques.

D'après Tom Peters : « De la comptabilitéà l'ingénierie en passant par le droit, nous

en sommes arrivés à un point où même lesmétiers les plus qualifiés sont menacés. Lesordinateurs remplacent aujourd'hui cer-tains postes rémunérés 150 000 à 200 000dollars. »

Selon lui, pour survivre dans ce nou-vel environnement économique, lessalariés devront constamment sedemander quelles compétences leurreviennent encore et comment ilspeuvent se montrer plus efficacesque des machines ou des logiciels.Cela requiert un apprentissage etune formation continus, deux dimen-sions qui ont commencé à prendre duretard ces vingt dernières années. Lesentreprises ont dû se concentrer sur desavantages compétitifs, et selon TomPeters, elles ont oublié certains fonda-mentaux, comme le management et laqualité de leurs collaborateurs.

Pour lui : « Ce ne sont pas les choses com-pliquées qui posent problème. Ce sont engénéral les choses les plus élémentaires quimettent en difficulté, comme lorsqu'onoublie de rentrer le rideau de douche et quel'on met de l'eau partout. »

Connaissances et compétences

Par conséquent, selon Tom Peters, lesemployeurs devront mettre davantagel'accent sur la formation et l'apprentis-sage continus, et les universités devrontproposer autre chose qu'un simple exa-men supplémentaire. Il envisage unmonde dans lequel les entreprises for-

Ce que l'avenir nous réserveTrois des principaux intervenants à la conférenceinternationale 2013 de l'IIA prédisent ce qui attendles entreprises et leurs auditeurs internes

Propos recueillis par ...

Craig Guillot, journaliste indépendant à la Nouvelle-Orléans


meront en permanence leurs salariésaux dernières technologies et méthodes,un peu comme une équipe sportive, unservice de police ou un régiment de l'ar-mée.Pour lui, le capital humain devrait êtreet rester la priorité des organisations.Les budgets de formation devraient êtresupérieurs aux budgets d'investissementet le développement du capital humaindevrait systématiquement figurer en têtede tout plan d'action ou document lié àla stratégie de l'entreprise.

Selon Tom Peters : « Le responsable de laformation devrait siéger aux côtés du direc-teur financier et de tous les autres respon-sables. Dans l'armée, la formation est assu-rée par un haut gradé, tandis que dans lesgrandes entreprises américaines, elle estassurée par un manager d'échelon intermé-diaire. »

Tom Peters pense également que chaquesalarié devrait disposer d'une stratégiede développement personnelle et éta-lonnée. Chaque responsable devraitaussi être évalué(e), et sa performancedevrait être liée à l'efficacité collectivedes stratégies de développement indivi-duelles. Étant donné qu'il existe actuel-lement ce qu'il appelle une pénurie deleadership, Tom Peters recommande éga-lement d'optimiser le taux de dévelop-pement de femmes responsables àchaque échelon, et de faire appel aumaximum à la main-d'œuvre plus âgéetout en favorisant constamment leurdéveloppement.

Partenariat avec les auditeurs

Tom Peters estime que les auditeursinternes pourraient avoir un rôleimportant à jouer dans les prochainesannées à travers leur collaborationavec des services et des organisationspour améliorer leurs processus etleur performance. Il y a là pour lui unetransformation d'ordre culturel, dans lesens où l'appréhension que suscite l'au-diteur chez les responsables de servicelaisse place à la vision d'un possible par-tenariat.

D'après Tom Peters : « L'auditeur internesera là pour aider l'entreprise à s'améliorer,à se sophistiquer, à se professionnaliser, etpour sensibiliser chaque individu à chaqueéchelon aux changements qui s'opèrent. »

Scott Klososky

Pour Scott Klososky, conférencier, auteuret consultant spécialisé dans le domainede la technologie, l'économie dedemain sera fondée sur la connais-sance, et « les personnes intelligentesseront gagnantes ». Les entreprises peu-vent utiliser des outils technologiquessociaux pour constituer un flux large,dense et puissant, d'informations fil-trées qui peuvent être combinées demanière unique pour chaque individu.Scott Klososky, qui désigne ce conceptsous le nom de « rivières d'informa-tions », estime qu'il s'agit d'une manièreefficace et efficiente de faire augmenterle niveau d'intelligence d'une organisa-tion tout entière.Lorsqu'une organisation crée une rivièred'informations, les individus et leséquipes peuvent rationaliser leur pro-cessus quotidien d'assimilation deconnaissances. Pour cela, il s'agit detrouver les sources d'information perti-nentes pour l'entreprise, le service oul'individu. Une « rivière » peut égale-ment contenir des informations sur lesconcurrents, des données sur le secteurd'activité, des points de vue de leadersd'opinion et de blogueurs ainsi que deslettres d'information.Avoir recours aux rivières d'informationnécessite de passer par les outils sociaux(des réseaux sociaux aux forums en pas-sant par d'autres applications internet)afin d'assimiler et de transmettre l'infor-mation rapidement. Les équipes et lesindividus devraient contribuer à alimen-ter le flux d'informations cumulatif.D'après Scott Klososky : « Je pense qu'ils'agira de l'une des meilleures solutionspour aider les salariés à apprendre et à pro-gresser en permanence. »

Compétences technologiques accrues

Scott Klososky estime que, même si latechnologie est généralement syno-

nyme de progrès, elle peut deveniraussi un fardeau lorsqu'elle changetrop souvent. Non seulement il estnécessaire de s'adapter continuelle-ment, mais il convient aussi d'antici-per les nouvelles évolutions et tech-nologies de demain. D'après ScottKlososky, tout deviendra de plus en pluscomplexe avec la course à la technologieque les entreprises auront engagée pourne pas se faire dépasser par leursconcurrents.

À l'instar de Tom Peters, Scott Klososkyestime que les salariés de demaindevront être plus souples et plusadaptables. Ils devront être extrême-ment qualifiés et capables d'appré-hender de nouvelles technologies enun clin d'œil. Dans tous les domaines,les salariés devront posséder des com-pétences solides dans l'utilisation desréseaux sociaux, la gestion des donnéeset la prise en main des outils logiciels.

Selon Scott Klososky : « Dans chaquedomaine, on favorisera les spécialistes quimaîtrisent aussi la technologie. Outre lescompétences spécifiques à leur domaine,les individus devront posséder des com-pétences informatiques. »

Les services de ressources humainesauront la contrainte encore plus pres-sante de trouver des nouveaux salariéscompétents et qui maîtrisent la techno-logie, et d'organiser des formations àleur intention. Scott Klososky estimeque nous allons assister à l'essor destests pour juger de la capacité d'une per-sonne à assimiler et à progresser rapide-ment en utilisant le processus d'appren-tissage continu de l'organisation.

La technologie jouera aussi un plusgrand rôle particulièrement dans ledomaine de l'audit. Selon l'enquête2013 « Pulse of the Profession » (À l'écoutede la profession) de l'Audit ExecutiveCenter de l'IIA, intitulée « 2013 : saisirles nouvelles opportunités », 38 % desparticipants s'attendent à voir l'audit seconcentrer davantage sur les technolo-gies de l'information. Ce domaine arriveen tête devant la conformité et la régle-

14

INTERNATIONAL


mentation, l'efficacité de la gestion desrisques, et les aspects opérationnels.

Gestion d'une population activevirtuelle

La technologie transforme égalementla manière dont les gens travaillent.Dans de nombreux secteurs, la localisa-tion géographique est en train de perdrede son importance. Selon une étuderécente réalisée auprès de 1 000 salariésaméricains par ORC International, uncabinet d'études indépendant, 11 % desparticipants sont en télétravail, et 16 %l'ont déjà été. S'il est prévu que la partdu télétravail augmente, il en va demême pour la collaboration virtuelle

entre les salariés.Les rencontres hebdomadaires en sallede réunion et les espaces de travail col-laboratifs sont de plus en plus souventremplacés par des « équipes virtuelles »,composées de collaborateurs disséminésdans tout le pays. Scott Klososky estimeque les managers qui sont de plus enplus amenés à gérer des équipes vir-tuelles devront rester à la pointe de latechnologie pour améliorer les proces-sus de gestion du travail. Ils devront faireplus de choses avec moins de ressourceset atteindre plus rapidement leurs objec-tifs.

D'après Scott Klososky : « La gestiond'équipes virtuelles soulève un certain nom-

bre de problèmes, et il faut des personnesbien précises pour les résoudre. À l'avenir,nous allons réaliser une part de plus en plusimportante de notre travail de manière vir-tuelle. »Selon lui, puisque les jeunes générationsont grandi avec l'essor des réseauxsociaux, elles seront beaucoup plusenclines à travailler dans des équipesvirtuelles. Habituées aux relations vir-tuelles sur Facebook et sur Twitter, ellesne seront pas gênées de travailler enéquipe avec des personnes qu'ellesn'ont jamais rencontrées.

Pour Scott Klososky : « Les salariés serontcapables de travailler de n'importe où,n'importe quand, quand ils le souhaitent.

© alpha

spirit - Fotolia

.com


Cela représente un défi croissant pour lesmanagers. »

Brian Thelen

Dans l'enquête 2013 « Pulse of the Pro-fession », Richard Chambers, Présidentet Directeur exécutif de l'IIA, déclare que« les responsables de l'audit interne ont lacapacité d'anticiper les choses et de s'adap-ter rapidement ». Il est souligné dans lerapport que de nombreux auditeursdevront aider les organisations à gérer lacomplexité et l'incertitude grandissantesqui pèsent sur les activités.

Pour Brian Thelen, responsable de l'au-dit interne et de la gestion des risqueschez General Motors, les auditeurs ontun rôle de plus en plus grand à jouerdans l'évaluation des risques. La chaîned'approvisionnement mondiale, la dimi-nution des marges, la concurrenceaccrue et la bataille féroce pour gagnerdes parts de marché font que les entre-prises ne peuvent pas se permettre deprendre des risques.D'après Brian Thelen, General Motors ade plus en plus recours à ses auditeurspour anticiper des risques possibles,déterminer l'impact que ces dernierspeuvent avoir sur l'entreprise et trouverdes solutions pour y remédier. Alorsqu'auparavant l'audit interne était sou-vent tourné vers les événements passés,Brian Thelen estime qu'un plus grandnombre de sociétés dans davantagede secteurs utiliseront dorénavant lesauditeurs pour se faire une idée de ceque leur réserve l'avenir.

D'après Brian Thelen : « Nous aurons cer-tainement un rôle à jouer pour aider lemanagement à avoir une vision plus pros-pective. Nous sommes en mesure d'identi-fier les tendances et le fait de pouvoir com-muniquer ces tendances au managementpeut permettre de mieux prédire les évolu-tions futures. »

Capacités informatiques et réflexionanalytique

Dans certains domaines, le recrutementd'auditeurs qualifiés pourrait poser pro-

blème, selon Brian Thelen. D'une part,les attentes seront plus élevées et d'au-tre part, moins de candidats se montre-ront prêts à changer de poste. D'après lasociété internationale de reclassementexterne Challenger, Gray & Christmas,le nombre de salariés prêts à changer deposte a atteint des niveaux historique-ment bas fin 2011. Selon les résultatstirés d'une étude réalisée auprès de3 000 personnes, les salariés sont moinsnombreux à vouloir prendre des risques,en raison du contexte économiqueincertain et de l'insécurité sur le marchédu travail.

Pour Brian Thelen : « Le marché des audi-teurs internes est toujours assez restreintdans certains endroits, il peut donc être dif-ficile de recruter la bonne personne au bonposte. » Le nombre de candidats qualifiéspeut varier de manière significative enfonction du secteur d'activité et de lalocalisation du poste, mais une solutionpour remédier à ce problème consiste àrenforcer les liens avec les universitéspour créer un vivier de jeunes diplômésqualifiés. Souvent, les étudiants n'ap-prennent que les fondamentaux, alorsque selon Brian Thelen, l'accent devraitêtre davantage mis sur l'innovation et larésolution de problèmes.

« Nous avons besoin de davantage de per-sonnes qui savent lire les données, extrairedes informations qui ne sont pas forcémentapparentes et faire des rapprochements.L'enjeu sera de savoir faire face à cerisque. »

Pour passer d'un rôle réactif à un rôleproactif, les auditeurs devront penseret travailler différemment. Ils devrontêtre attentifs aux évolutions pour repérerles menaces potentielles qui pèsent surles approvisionnements, la demande dumarché, la main-d'œuvre, et devrontsavoir analyser les tendances dans lesdonnées pour faciliter l'émergence desolutions. Dans les années à venir, lesauditeurs devront démontrer encoreplus de compétences et de talent pourpasser au crible des quantités d'infor-mations toujours plus importantes, afinde dégager des tendances et des liens.

Selon Brian Thelen : « Les auditeursseront beaucoup plus sollicités [à l'ave-nir] qu'ils ne le sont maintenant. Ilsdevront faire preuve d'une réflexion stra-tégique plus poussée, ils devront regardervers l'avenir et être capables de transmettreefficacement ces analyses. »

Montée en puissance des équipesvirtuelles

Comme l'explique Scott Klokosky, d'unecertaine manière, les différences géné-rationnelles transformeront la popula-tion active dans son ensemble. En raisonde la polyvalence et de l'utilisation destechnologies de pointe, les salariéss'éloigneront de plus en plus loin desmanières de travailler « traditionnelles »,pour s'orienter vers des équipes vir-tuelles. Pour Brian Thelen, la communi-cation en face-à-face et les activités sursite continueront de faire partie de laprofession d'audit, mais les élémentsvirtuels du métier demeureront un véri-table enjeu.

« Ce qui importe en audit, ce sont les rela-tions, la confiance et la présence. Je ne pensepas que le métier deviendra strictement vir-tuel, mais cette composante prendra unepart de plus en plus grande. »

Il est essentiel de posséder les bonnescompétences et capacités pour dévelop-per cet aspect. Pour Brian Thelen, lesentreprises emploieront souvent la« force brute » pour surmonter ces défis,mais en raison des transformationsdémographiques à l'œuvre dans lapopulation active, elles auront besoind'une fondation plus solide pour maîtri-ser de tels risques.

Selon lui : « En fin de compte, les personnesqui vous ont aidé pendant la crise ne serontpeut-être pas là. Nous allons avoir besoinde gérer ce risque de manière systématiqueet anticipée. Le risque continuera d'être l'undes principaux obstacles au changement, etles auditeurs joueront un rôle clé. »

Article paru dans le numéro de juin 2013 dela revue Internal Auditor publiée par l’IIA

Publications IFACI Bon decommande

AUTEUR : The Research Foundation (The IIA) / IFACI - Prix HT : 61,61 € (65,92 € TTC)

Septembre 2011 - Format : 17 x 24 cm - ISBN : 978-2-915042-33-7

Le « Manuel d’Audit Interne - Améliorer l’efficacité de la gouvernance, du

contrôle interne et du management des risques » est l’ouvrage international

de référence sur le métier d’auditeur interne. Élaboré sous l’égide de la fondation

pour la recherche de l’IIA, il est le fruit de la collaboration de trois professeurs

et de quatre praticiens. Son adaptation aux contextes européen et français a

été réalisée par des universitaires et praticiens français réunis par l’IFACI, ce

qui en fait l’outil idéal pour les auditeurs internes, les étudiants en audit interne

et leurs enseignants.

Ce manuel est organisé en deux sections : « concepts fondamentaux de l’audit

interne » et « conduire une mission d’audit interne ». Il reflète les dernières

évolutions de la profession, en particulier dans les domaines suivants :

normes internationales de l’audit interne ; gouvernance, contrôle interne et management des risques ; éléments clés liés aux systèmes d’information et références aux guidesGTAG et GAIT diffusés par l’IIA et par l’IFACI ;

risques de fraude ; missions de conseil.

La première édition de ce manuel, traduite en espagnol et en japonais a été

adoptée par de nombreux pays de par le monde. Nous sommes convaincus

que cette adaptation française de la seconde version ajoutera encore à ce

succès et contribuera efficacement à la formation des étudiants et à la profes-

sionnalisation des auditeurs internes.

Société : ...................................................................................................................................................................................................................................................................................

Nom : ............................................................................................................................................. Prénom : ......................................................................................................................

Adresse : ..................................................................................................................................................................................................................................................................................

Code postal : ......................................... Ville : ........................................................................................................................... Pays : .........................................................................

Tél. : ........................................................... Fax : ......................................................... Mél : ...............................................................................................................................................

B O N D E COM M A N D E

TITRE PRIX HT QUANTITÉ TOTAL

Manuel d’audit interne 61,61 €

Total HT

TVA 7 %

Net à payer TTC*

PAIEMENT PAR : Chèque bancaire ou postal (à l’ordre de l’IFACI)

Virement à la banque HSBC agence centraleCompte IFACI n°30056-00148-01485415521-72

Carte de crédit :

N° ....................................................................................................................................................

Date d’expiration : ....................................................................................................................

DATE : ............................................... SIGNATURE :

(*) Hors frais de port et d’emballage.

Bon de commande à retourner à :Marie-Thérèse Tran - IFACI98 bis, bd Haussmann - 75008 ParisTél. : 01 40 08 48 00 - Fax : 01 40 08 48 20Mel : [email protected] - Internet : www.ifaci.com

Règlements :Une facture pro forma vous sera adressée par courrieldès réception de votre commande.Chèque : libellé en euros tiré sur une banque française.Virement : les virements émis à partir d’une banque horsde France doivent être nets de tous frais bancaires pourl’IFACI.


DOSSIER

Les réponses de l’auditinterne aux attentesde ses parties prenantes

Comment l’audit interne d’Arcade satisfait-illes attentes diverses et parfois de nature différentedes parties prenantes du groupe ?Jean-Marc Pluzanski

25

Ce qu’attend de l’audit interne un présidentde comité d’auditPhilippe Lagayette

18

Le contrôle interne au ministère de la Défense :une organisation spécifiqueJean-François Charbonnier

29

Comment répondre au mieux aux attentesdes parties prenantes de l’audit interne d’AG2RLa Mondiale ?Eric Burlot

32

L’audit interne : une fonction exigeante aux multiplesfacettesBenoît Harel

23

18

DOSSIER


Ce qu’attend de l’audit interneun président de comité d’audit

Louis Vaurs : Monsieur le Président, mapremière question sera simple et directe.Comment concevez-vous le rôle du comitéd’audit ?

Philippe Lagayette : Le rôle du comitéd’audit, c’est de dire au conseil d’admi-nistration ce qui peut poser problème àl’intérieur de l’entreprise, dans laconformité aux lois et règlements, dansle repérage et la maîtrise des risques, etdans des agissements potentiellementnuisibles. S’agissant plus spécialementdes comptes, le comité d’audit fait partde ses investigations au conseil d’admi-nistration, avec les questions ou les fai-blesses relevées. Le comité d’audit s’ap-puie sur les systèmes de contrôle internede l’entreprise, au sens large. Il faut dis-tinguer le contrôle interne, qui est unesorte d’activité permanente, intégréedans le processus de décision, et l’auditinterne qui est une démarche ponc-tuelle, qui doit être déconnecté de lahiérarchie du processus de décisionhabituel. Il y a aussi des audits externes,

faits par les commissaires aux comptesen particulier. Quant au contrôleinterne, il englobe au premier chef toutce que fait la hiérarchie, ce que fait lemanagement. Le management doit fairedu contrôle comme M. Jourdain fait dela prose ; il est le premier contrôleur, lepremier responsable du respect des loiset de la réglementation. Il y a en généralun deuxième étage qui est un contrôleplus formel. L’audit, c’est une sorte detroisième étage, mais d’une nature unpeu différente. Il n’est pas dans le pro-cessus hiérarchique.

L. V. : Vous évoquez là, me semble-t-il, leconcept des 3 lignes de maîtrise des risquesdéveloppé par l’ECIIA, la ConfédérationEuropéenne des Instituts d’Audit Interne.

Ph. L. : Je suis tout à fait d’accord avecce concept. Le problème que l’on ren-contre souvent, c’est le désintérêt dumanagement pour les contrôles. Ilconsidère trop souvent que son métierc’est exclusivement le commerce ou la

production, et que les contrôles sontaffaires de contrôleurs. Si le manage-ment a cette attitude, il y a une bonnepartie du contrôle élémentaire qui n’estpas fait. Il faudra, dès lors, dépenser uneénergie considérable pour le remplacer.Le deuxième étage, c’est un contrôleplus formel, soit sur certains risques, soità certaines périodes, qui s’organise, maisqui relève soit de la hiérarchie, soit defonctions support ou de fonctions spé-cialisées telles que la gestion des risquesou la conformité. Le troisième étage, c’est l’audit.

L. V. : La fonction gestion des risques a prisrécemment une grande importance au seindes entreprises. N’y a-t-il pas un danger devoir se développer une lutte d’influenceentre celle-ci et l’audit interne ?

Ph. L. :Normalement, ils ont des pointsde vue et des angles de vision assez dif-férents. L’auditeur interne porte unregard distancié, n’ayant pas de prise deresponsabilité. Le gestionnaire derisques a un travail plus direct à faire surla maîtrise des risques. Si les choses nes’améliorent pas, il est lui-même encause, et pas seulement les managers.L’audit, c’est un peu différent. Son rôleest d’évaluer le processus de gestion desrisques et de faire des constatations debase. Il ne faut pas non plus oublier laconformité : les règles sont-elles respec-tées ou pas. Un des risques de l’audit,c’est de se situer trop haut et de ne pasfaire les vérifications de base. Il faut lesfaire. En comptabilité c’est pareil, il ne

Entretien avec ...

Philippe Lagayette, Président du comité d’audit de Renault

Le rôle du comité d’audit, c’est de dire au conseil d’administration ce qui peut poserproblème à l’intérieur de l’entreprise, dans la conformité aux lois et règlements, dansle repérage et la maîtrise des risques, et dans des agissements potentiellement nui-sibles. Le comité d’audit s’appuie sur les systèmes de contrôle interne de l’entreprise,au sens large : contrôle interne, audit interne, audit externe. Le contrôle et l’auditdoivent être orientés par la connaissance des risques.L’auditeur interne doit savoir distinguer l’important du moins important, cela sup-pose un esprit tourné vers l’efficacité. Il faut qu’il fasse preuve de caractère et quandil s’est fait une opinion définitive, il doit l’exposer de façon claire et simple.

19

Les réponses de l’audit interne aux attentes de ses parties prenantes

sept./oct. 2013 - Audit & Contrôle internes n°216

faut pas regarder seulement si le sys-tème comptable est bien fait, il fautregarder aussi si les chiffres sont justes,et s’ils sont appuyés par des piècesidoines.

Si je prends l’exemple de Renault, il aété mis en place une nouvelle organisa-tion. La gestion des risques fait partied’une direction qui comprend égale-ment le contrôle interne et l’auditinterne. L’audit interne ayant quandmême un statut spécial parce qu’il estbranché directement sur le directeurgénéral et sur le président du comitéd’audit. Cette direction procède au repé-rage des risques et à l’évaluation de ceque l’entreprise fait pour les maîtriser. Ilne s’agit pas d’une simple cartographie,mais d’une évaluation du caractère cri-tique et du degré de maîtrise de chaquerisque identifié. Le comité d’audit s’oc-cupe donc en même temps des risques,

du contrôle interne et de l’audit. Lecontrôle et l’audit doivent être orientéspar la connaissance des risques : le repé-rage des risques et le niveau de maîtrise.Ceux qui sont mal maîtrisés appellentune action pour mieux les cerner et desactions pour essayer de les maîtriser.

L. V. : Dans le secteur bancaire, il y a une« muraille de Chine » entre l’audit qui estle contrôle périodique, et le contrôle perma-nent qui couvre les risques, la conformité, etle contrôle au fil de l’eau. Ce qui est unebonne organisation pour les banques n’estpas nécessairement applicable pour lesautres secteurs d’activité. Qu’en pensez-vous ?

Ph. L. : Dans le secteur bancaire, il y aune ambiance particulière. Dans toutesles activités de marché de capitaux, il ya des gens qui poussent beaucoup pourfaire des résultats, en prenant plus de

risques ; beaucoup plus fort que ce quel’on trouve habituellement dans uneentreprise. Il faut donc prendre des pré-cautions particulières dans ce secteur etprotéger spécialement l’audit, et pourcela le séparer. Dans les entreprises nonfinancières, il faut aussi que l’audit soitindépendant, dans son appréciation,qu’on ne puisse pas lui imposer le pland’audit. Le plan d’audit, c’est l’entreprisequi le fait, mais il faut que l’audit puissedire : « il y a tel problème dans telleentité, il faut faire une mission ». Enfin,l’audit doit être totalement indépendantdans les conclusions, quitte à ce quel’entreprise prenne la responsabilité dene pas suivre les recommandations. Ildoit conserver son indépendance dejugement et pouvoir accéder directe-ment au directeur général s’il a quelquechose à dire. Et au président du comitéd’audit.

© Renault

20

DOSSIER


L. V. : Est-ce que vous participez à l’évalua-tion du directeur de l’audit interne ?

Ph. L. : Non. C’est l’entreprise quinomme les responsables. Le présidentdu comité d’audit est nommé par l’en-treprise, par le directeur général. Certesle devoir du président du comité d’audit,s’il voyait qu’une personne ne fait pasl’affaire, serait de le dire. J’ajoute qu’iln’est pas non plus de la responsabilitédu comité d’audit de participer à lanomination du directeur de l’auditinterne, mais il va de soi que j’intervien-drais s’il était écarté parce qu’il a dit deschoses qui déplaisent. Mais dans l’am-biance actuelle et l’évolution des mœurssur ces choses, je ne vois pas une entre-prise faire cela.

L. V. : Le rôle du conseil d’administrationet du comité d’audit est-il le même enFrance qu’à l’étranger ?

Ph. L. : Le rôle du conseil d’administra-tion par rapport à l’entreprise, n’est pasle même dans les pays anglo-saxons. Aumoins dans certaines entreprises, leconseil d’administration a beaucoupplus de responsabilités en Angleterre ou

aux Etats-Unis. C’est souvent vrai enAngleterre. Aux Etats-Unis, on trouveles deux cultures. D’une part, la cultureéquivalente à la culture française tradi-tionnelle du chef : un président directeurgénéral dirige tout, il est seul légitime. Ilexpose au conseil d’administration cequ’il faut faire et, dans la plupart des cas,le conseil approuve ses choix. Cela neveut pas dire que le PDG n’a pas tenucompte par avance de la sensibilité duconseil, qu’il connaît, sur tel ou telaspect. Mais il y a aussi une autre cul-ture, dans laquelle les administrateursréclament des questions plus ouvertes,veulent que le conseil d’administrationpuisse réellement peser et soupeser lesorientations que prend l’entreprise, stra-tégiques notamment. Cela donne auconseil d’administration un plus grandpoids. Les membres reçoivent de lourdsdossiers, les questions sont beaucoupplus ouvertes.

En France, il y a eu de grands change-ments en quinze ans, changements sousl’influence de l’étranger. Il y a vingt ansla France ignorait largement les comitésd’audit, mais elle a évolué dans la bonnedirection, avec les différents comités, les

guidelines de l’AFEP et du Medef, etc. Cequi n’a pas beaucoup changé, c’est lerôle du conseil d’administration vis-à-vis de l’entreprise. C’est surtout unorgane de vérification, de ratification,qui n’agit lui-même que si un gros pro-blème se présente. Il pose des questions,reçoit des présentations, mais n’est pasà l’initiative de l’orientation de l’entre-prise.

L. V. : Les responsabilités du comité d’auditse sont accrues, le président du comité d’au-dit que vous êtes s’en inquiète-t-il ?

Ph. L. : Il faut tenir compte de l’am-biance de l’entreprise, de l’état d’espritqui y règne. Il existe des entreprises oùl’on peut faire des bêtises accidentelle-ment, mais où il n’y a pas de fortes ten-dances à sortir des clous. Dans ces cas-là, il ne faut pas avoir peur et s’effrayerde tout. Celui qui est guidé par la peurva demander une foule de renseigne-ments, des justificatifs, toutes sortes depapiers. Mais il ne sera pas fondamen-talement rassuré. Ce qu’il faut, c’est seforger un jugement sur les personnes ; ily a les papiers, bien sûr, mais il y a beau-coup d’autres aspects, humains en par-ticulier. Il faut que l’information soit hié-rarchisée et donnée par des personnesqui ont confiance dans le fait que cetteinformation permettra au comité d’auditd’agir pour le bien de l’entreprise, et nonpas pour mettre les responsables del’entreprise en difficulté ou compliquerles choses.Il ne faut pas se laisser noyer. Vouloirpasser au crible tous les rapports d’auditinterne n’aurait pas de sens. Le comitéd’audit n’est pas chargé de gérer l’entre-prise, mais il s’assure qu’il a été mis enplace des systèmes fiables qui permet-tent de repérer les faiblesses les plusgraves. Mais ce n’est pas lui qui va lesdécouvrir. Il doit certes y avoir une relation deconfiance entre le président du comitéd’audit et le responsable de l’auditinterne, mais aussi avec bien d’autresresponsables : le directeur de la comp-tabilité, le directeur financier, le directeurjuridique, par exemple. Normalement, lecomité d’audit doit aussi se faire présen-ter les principaux contentieux de l’entre-

©Renault

Philippe Lagayette

21



prise périodiquement mais en hiérarchi-sant leur importance. Si la direction juri-dique vous donne un monceau de docu-ments juridiques, vous risquez den’avoir aucune idée de ce que sont lesvrais risques. Il faut qu’elle vous parlefranchement, en disant : « telle affaireest compliquée, mais nous sommes surune assez bonne position ; sur telleautre, notre position est délicate, etc. ».Pour un président du comité d’audit ilest important d’avoir une relation deconfiance avec les personnes de l’entre-prise qui agissent dans le domaine ducontrôle.

L. V. : Doit-il y avoir des relations étroitesentre audit interne et audit externe ?

Ph. L. : Les travaux des commissairesaux comptes sont à la fois utiles etnécessaires. Ils voient les choses dans unétat d’esprit différent. Ils travaillentd’abord pour eux-mêmes, pour fiabiliserles chiffres, les comptes qu’ils certifient.Ils n’ont pas le même point de vue quel’audit interne de l’entreprise. Dans unschéma idéal, l’audit interne doit secoordonner avec l’audit externe pour ne

pas refaire ce qui a été fait, et tirer lemeilleur parti possible des travaux desauditeurs externes.Autre point très important, l’auditexterne peut parfois constater des ano-malies mais ne pas les faire remonterdans la hiérarchie de l’entreprise parceque ce n’est pas un problème prioritaire.Par exemple, le système comptable del’entreprise n’est pas bien tenu danstelle filiale, même si les chiffres sontexacts. L’audit externe ne devrait pass’en tenir aux chiffres, mais signaler qu’ily a des faiblesses dans la tenue du sys-tème comptable. S’il ne le fait pas, cesfaiblesses ne seront vraisemblablementjamais corrigées.

L. V. : Est-ce que les commissaires auxcomptes doivent s’appuyer sur les travauxde l’audit interne ?

Ph. L. : S’ils le veulent, oui.

L. V. : Leurs normes disent qu’ils peuvent lefaire. Encore faut-il qu’ils aient une certaineassurance de la qualité des travaux de l’au-dit interne.

Ph. L. : C’est leur responsabilité.

L. V. : Est-ce que le fait d’être certifié,comme la direction de l’audit interne deRenault l’est, est un signe de qualité ?

Ph. L. : Oui. Je n’ai pas d’expériencegénérale, mais je suppose qu’il doit yavoir des différences de niveau assezgrandes dans la qualité des servicesd’audit interne des entreprises. Celapeut-être lié au secteur d’activité ou à laculture même de l’entreprise mais c’estpeut-être aussi lié à d’autres questionstelles que la carrière des auditeurs. Quisont-ils ? D’où viennent-ils et où vont-ils ?Mon sentiment, c’est qu’il y a plusieurssystèmes qui peuvent fonctionner. L’au-dit peut être une étape valorisante dansune carrière comme souvent dans lesbanques. Les jeunes gens brillants vontpasser quelques années à l’audit. Celacomplète leur formation et leur connais-sance de l’entreprise. Et ensuite, ils sontmis en orbite pour occuper des postesplus importants. Faut-il recruter des auditeurs qui vien-nent d’ailleurs ? Ou bien faut-il prendre

© Renault

22

DOSSIER


très majoritairement des agents qui ontdéjà des expériences dans l’entreprise ?Je pense que les deux sont possibles.Mais s’ils viennent d’ailleurs, il fautqu’ils apprennent l’entreprise. Et peut-être l’audit aussi parfois, s’ils sont trèsjeunes. Mais après tout, les cabinetsd’audit font de la formation et le sys-tème fonctionne. Si l’on prend desagents internes à l’entreprise, il fautqu’ils aient suffisamment l’envie deprendre la position de l’auditeur et de seformer.

Pour revenir à la certification de la direc-tion de l’audit interne de Renault, cettedémarche a eu aussi le mérite de mettrel’organisation sous tension et de lui faireaspirer aux meilleurs standards de laprofession.

L. V. : Qu’attendez-vous du responsable del’audit interne ?

Ph. L. : Premièrement, le responsable del’audit interne doit être compétent dansle métier d’audit. Les certifications sontun bon moyen de jauger cette compé-

tence. Deuxièmement, il faut qu’ilconnaisse l’entreprise, ou qu’il apprenneà la connaître rapidement. Troisième-ment, Il doit savoir distinguer l’impor-tant du moins important. Sinon, on peutêtre très vite noyé dans les observations,les recommandations, etc., et ne pasprojeter sur le management des mes-sages clairs et centrés sur l’essentiel.Cela suppose un esprit tourné vers l’ef-ficacité. Quatrièmement, il faut qu’ilfasse preuve de caractère, sache gérer lesconflits avec les services audités ou lemanagement, et sache résister aux pres-sions le cas échéant.

L. V. : Doit-il jouer un rôle particulier dansle domaine de l’éthique ?

Ph. L. : Bien sûr. L’éthique est un étatd’esprit qui doit imprégner tout lemonde. L’audit doit projeter une imagede bon comportement. Et il peut repérerbeaucoup de choses et réagir en consé-quence. Si c’est de la fraude, elle doitêtre traitée par des spécialistes de lafraude.

De plus en plus dans les entreprises, il ya des directeurs de l’éthique. Je crois quec’est une bonne tendance, et quel’éthique a été un peu négligée. Laréglementation ne peut pas tout faire. Etles réglementations internes dans lesentreprises doivent être appliquées avecun état d’esprit éthique positif, dans lesouci du bien de l’entreprise, de sesclients, de ses salariés et des autres par-ties prenantes.

L. V. : Faites-vous une différence entre laconformité et l’éthique ?

Ph. L. : Oui. La conformité : quand il y ades règles claires : on les respecte oupas. Le besoin d’éthique apparait danstoutes les autres circonstances, lorsqueles règles ne dictent pas strictement lecomportement ; l’éthique se réfère à desvaleurs supérieures, qui aident à distin-guer ce qui est souhaitable et ce qui nel’est pas.

L. V. : Merci Monsieur le Président de nousavoir accordé ce long entretien.

© Renault

23



Bien des préoccupations exté-rieures retiennent l’attention d’undirecteur général. Les interactions

avec les investisseurs et actionnaires, lesclients, les fournisseurs et les banquessont souvent délicates ; afin de disposerd’une marge de manœuvre suffisante, ledirecteur général doit pouvoir s’appuyersur une entreprise en bon ordre demarche pour atteindre les objectifsannoncés. L’audit interne fait partie deces fonctions essentielles sur lesquellesce directeur général doit pouvoir comp-ter pour compléter son orientationexterne par une vision interne. Plusieursenseignements émergent en ce sens denos entretiens avec les directeurs géné-raux qui ont soutenu leur départementd’audit interne vers la Certification pro-fessionnelle IFACI.

Les enseignements des missions ne doi-

vent être généralisés que lorsque cela estvraiment pertinent. Il est préférable pourun haut dirigeant de disposer de conclu-sions spécifiques sur une entité préciseque de considérations d’ensemble maistrop vastes pour responsabiliser lesmanagers concernés. En revanche lepartage et la dissémination de bonnespratiques identifiées lors des audits fontpartie des requêtes habituellement pré-sentées au responsable d’audit interne.

La remontée d’informations du terrain,analysées et mises en perspective maissans le filtre du management intermé-diaire, est un atout apprécié de l’auditinterne. Assurer, sans déformation nicensure, une boucle de retour aux déci-sions et orientations déployées est indis-cutablement une source de valeur pourle dirigeant. L’application ferme desprincipes d’honnêteté et d’intégrité est

fréquemment mise en avant dans lesappréciations formulées.

Des rapports orientés vers ladécision et l’action

Les synthèses des rapports, orientéesvers la décision et l’action, doivent clai-rement mettre en regard probléma-tiques relevées et solutions envisagées,sur lesquelles le directeur généralconserve un droit de regard et de suitedans son pilotage managérial. La syn-thèse doit attirer l’attention d’un hautdirigeant sur les points clés de sonchamp de responsabilité et sur lesquelsce dernier peut s’impliquer. Plus préci-sément, le dirigeant apprécie une ana-lyse solide des sources de déficiences,une mise en ordre et une connexion descauses multiples, souvent connues maisentremêlées dans plusieurs champs deresponsabilité.

Bien sûr, l’audit interne doit s’attacher àprévenir les mauvaises surprises, surtoutlorsqu’il s’agit des sécurités fondamen-tales d’une organisation. Tous ses effortsdoivent porter sur le maintien d’uncontrôle de base sur les activités opéra-tionnelles. Il doit disposer de méca-nismes pour capter les signaux faibles etsynthétiser ces faisceaux. En cas de coupdur, l’audit interne doit pouvoir être prêtà réagir rapidement pour limiter les

Pour atteindre ses objectifs, le directeur général doit pouvoir s’appuyer sur une entre-prise en bon ordre de marche. L’audit interne est une des fonctions essentielles surlesquelles compte ce directeur pour compléter son orientation externe par une visioninterne. Que demande celui-ci aux auditeurs ? Des conclusions spécifiques (éviterles considérations d’ensemble) ; des rapports orientés vers la décision et l’action ;des réactions rapides, en cas de coups durs ; des informations sur les pratiques degouvernance et d’audit d’organisations comparables ; la capacité à démontrer lacouverture adéquate des activités de maîtrise des risques majeurs de l’organisation,et bien d’autres choses encore, qui font l’objet de cet article.

L’audit interne :une fonction exigeanteaux multiples facettesBenoît Harel,Directeur, IFACI Certification

24

DOSSIER


conséquences d’une faiblesse mal anti-cipée et non détectée. Dans le mêmeordre d’idée, le rapport d’audit doit fairel’objet d’un portage oral, souvent appré-cié du directeur général pour lui éviterde sur-réagir à une conclusion négative,tout en montrant aux audités que le rap-port est lu et que le message essentielest bien passé.

Se tenir informé

Le responsable d’audit interne doit éga-lement se tenir informé des pratiques degouvernance et d’audit des organisa-tions comparables. Le directeur général,souvent administrateur d’autres organi-sations, souhaite fréquemment obtenirdes éléments de positionnement et dematurité de son gouvernement d’entre-prise par rapport à celui de ses pairs.C’est pourquoi il est intéressant que lessynthèses annuelles de l’audit internedonnent des éléments d’évaluation desprocessus clés à la fois en « valeur abso-lue », mais également en valeur relativepar rapport aux bonnes pratiques de laplace. Le responsable d’audit interne estconsidéré comme le garant de la confor-mité aux pratiques attendues d’unebonne gouvernance de l’organisation.

Dans le même ordre d’attentes, le direc-teur général est soucieux de donnersatisfaction, dans la mesure du possible,aux administrateurs membres du comitéd’audit, notamment dans leursdemandes en matière d’audit interne. Ilest judicieux de bien anticiper puis cer-ner ces demandes, implicites ou expli-cites, et d’en assurer un traitement par-ticulier sinon privilégié, puis de rendrecompte de leur bonne fin à la direction.D’autant que ces demandes conduisentplutôt rarement à un bouleversement duplan d’audit ; il s’agit bien souvent decomplément ciblé sur des préoccupa-tions issues d’informations externes ouinternes.

Parmi les desiderata fréquemment ren-contrés se trouve la capacité à démon-trer la couverture adéquate des activitésde maîtrise des risques majeurs de l’or-ganisation. Malgré les efforts de créati-vité des services d’audit interne pour

schématiser et structurer l’informationcorrespondante, il apparaît que cetteinformation n’a pas un caractère deconviction et d’attention suffisante pourêtre utilisée voire comprise par le diri-geant. Il est souvent noté que, s’il n’y apas bijection systématique entre lesactions stratégiques et opérationnellesde l’organisation et leur audit, un lienclair est à mettre en évidence.

Le reporting de tendances plurian-nuelles des conclusions d’audit fait par-tie des points d’attention : mettre en évi-dence les évolutions des différentesentités entre deux audits est une infor-mation recherchée. Souligner les pro-grès et alerter sur les dégradationsconstitue une mise en perspective utilepour le management. Elle permet derendre compte des efforts accomplis etde réagir en cas de situations à risque.

Sauvegarder l’objectivité de l’auditinterne, dans la vision des dirigeants, nesignifie pas de s’abstenir de préjuger aulancement d’une mission. Au contraire,un haut manager attend de son auditinterne la formulation d’une probléma-tique claire et l’établissement d’hypo-thèses favorables ou défavorables pourmieux orienter les travaux d’audit. Il estnécessaire de savoir envisager le pire.L’audit interne doit rester rigoureux pourconfirmer ces hypothèses ou les remet-tre en cause sur la base de ses travaux.

Dans le prolongement de ce point, ledirecteur général apprécie que figurentparmi les objectifs de la mission lesquestions qu’il se pose, interrogationsformulées ou non en termes managé-riaux. La capacité de l’audit interne àformuler des réponses pertinentes,étayées et substantielles à ces questionsest considéré comme un pilier de savaleur ajoutée. Sans problématique cor-rectement cernée, la « dissertation »d’audit à toute les chances de décevoir.

Savoir se rendre indispensable

En matière d’objectivité, il n’est pasattendu du responsable d’audit internede rechercher le consensus à tout prix,car il faut savoir déplaire, mais ne pas

hésiter à poser des questions déran-geantes au management, de façon cour-toise, mais directe et ferme. Savoir serendre indispensable ; en faire toujoursun peu plus que demandé, notammentsur la bonne application des stratégieset l’utilisation des ressources, sanscontribuer au désengagement du mana-gement opérationnel de ses responsabi-lités, constitue un facteur clé de succèspour l’audit interne. A contrario, savoirse restreindre et rester modeste sur lessujets inédits ou complexes, puis définirles points clés en allant jusqu’au bout duraisonnement d’audit, fait partie des exi-gences d’un dirigeant vis-à-vis de sonservice d’audit interne.

Dans sa relation privilégiée avec ledirecteur général, le responsable d’auditinterne est sur la sellette : son avis doitcompter au plus haut niveau et ses opi-nions vont éclairer le processus de prisede décision. Le soutien du dirigeant estun atout dans la recherche d’un serviceà valeur ajoutée pour l’organisation ;cette reconnaissance et ce soutien seconquièrent progressivement, et doiventêtre préservés de façon attentive dans ladurée pour promouvoir plus d’efficacitétout en garantissant les sécurités.

25



L’organisation de l’auditinterne au sein du groupe

La direction de l’audit interne du groupeArcade est rattachée hiérarchiquementau comité exécutif de la société mère.Elle est composée du directeur de l’auditinterne et d’un auditeur. L’audit évaluede manière indépendante et dans lecadre du plan d’audit l’efficacité du dis-positif de contrôle interne et de gestiondes risques.Dans les principales sociétés du groupe,un responsable risques est désigné. Ilanime le dispositif de contrôle internede la société en lien avec les managers

opérationnels. Ces responsables risquespeuvent être des relais pour l’audit. Pour être plus précis, nous avions lancé,en 2005 / 2006, un projet qui consistait,avec l’ensemble des sociétés du groupe,et sous le pilotage de la direction del’audit, à mettre en place une démarchemaîtrise des risques. L’audit a participéà la méthodologie en s’appuyant sur leréférentiel du COSO pour définir lanotion de risque, de contrôle interne,etc. Nous avons sensibilisé les managersen lien avec les différentes directionsgénérales sur la maîtrise des principauxrisques liés aux activités du groupe. Apartir d’un échantillon de risques, unréférentiel de contrôle interne sousforme de fiches risques a été établi dansle cadre de groupes de travail. Ladémarche a été ensuite reprise et com-plétée par les sociétés sur la base d’uneévaluation de leurs risques.

Les parties prenantesde l’audit interne

Les parties prenantes, pour ce quiconcerne l’audit, sont, dans le sens clas-sique du terme, le comité exécutif du

groupe Arcade et les directeurs générauxdes sociétés du groupe. Ce sont eux lescommanditaires des missions d’audit.Sont également parties prenantes, lesmanagers responsables du contrôleinterne de leurs activités.

D’un point de vue formel, il n’y a pas decomité d’audit mais le comité exécutif,dans certains cas, peut avoir les viséesd’un comité d’audit. Le comité exécutifdétermine la stratégie et les orientationsdu groupe. Il participe à l’élaboration duplan d’audit.

L’audit lui rend compte du résultat desmissions et du suivi des principalesrecommandations.

Les attentes des partiesprenantes

Elles varient selon les parties prenantes.Le comité exécutif est plutôt dans uneattente de conformité, attaché au respectdes lois et des règlements internes etexternes. Pour les directeurs généraux,cela dépend de la maturité du dispositifde contrôle interne. Selon les cas, ils

Comment l’audit interne du groupe Arcade peut-il répondre aux attentes diversesde ses parties prenantes qui sont : le comité exécutif, les directeurs généraux et lesmanagers, chacune de ces entités ayant ses besoins propres ? Le comité exécutif esttrès attaché à la conformité, au respect des lois et règlements. Les directeurs géné-raux demandent de la conformité ou du conseil, en fonction de la maturité du dis-positif de contrôle interne. Les managers font passer le conseil devant la conformité.

Jean-Marc Pluzanski

Directeur de l’audit interne, groupeArcade

Comment l’audit interne d’Arcadesatisfait-il les attentes diverseset parfois de nature différentedes parties prenantes du groupe ?

26

DOSSIER


seront en attente d’un retour sur laconformité ou bien de conseils sur ledispositif de contrôle interne.D’autres demandes de conseil peuventse traduire par des missions spécifiquesintégrées au plan d’audit ou bien par dessollicitations ponctuelles au fil de l’eau.Les managers font passer le conseildevant la conformité.

Les demandes de missions sont forma-lisées dans le plan d’audit. Elles reposentsur une analyse des risques afin de défi-

nir des priorités cohérentes avec lesobjectifs du groupe. Sur les missionsd’audit, environ 50 % émanent ducomité exécutif, et 50 % des directionsgénérales. Cette approche équilibrée etvoulue, a pour but que ces deux partiesprenantes participent à la demande desmissions d’audit. On veut s’assurer quela fonction audit présente une utilitédans le groupe, pour le comité exécutif,comme pour les directions générales.Concernant les attentes, les audités sontprévenus que nous menons a priori des

audits de conformité, avec une teinturede conseil. En fait, l’activité de conseils’intègre naturellement dans les mis-sions d’audit.

La satisfaction des partiesprenantes

Une mission d’audit a pour but d’éva-luer le dispositif de contrôle interne, sonefficience, sa pertinence. La mission vaégalement s’assurer que les lois, lesrèglementations, les procédures sontrespectées. Après quoi, des recomman-dations seront émises, ce qui peut êtreconsidéré comme du conseil intégrédans le corps même de la mission d’au-dit. En fait, conseil et conformité sontsouvent entremêlés. Si l’on dit que laprocédure n’est pas respectée et que l’onen reste là, on fait de la conformité. Sil’on évalue la procédure, sa pertinence,les améliorations à apporter, on fait duconseil pour améliorer le dispositif decontrôle interne. De fait, les attentes deconseil des managers et des directionsgénérales sont intégrées, même si le

Evaluation ducontrôle

interne par lasociété et

l’audit interne

Demandes des parties prenantes

Plan d’auditConseils

PonctuelsAudit de conformité Audit

ConseilVolet Conformité Volet Conseil

Maîtrisé - - -

A consolider

A développer

© Groupe Arcade

Résidence MILIN – Saint-Herblain (44) – Architecte : Vincent PERRAUD – Photo : Guillaume AYER



besoin n’était pas identifié de façon pré-cise au départ.

De façon pragmatique, comment peut-on mesurer la satisfaction des audités etdes demandeurs d’audit ? Il y a plu-sieurs niveaux de réflexion. Le premierniveau, c’est le constat de conformité :nos constats sont-ils objectifs ? Le rap-port donne-t-il lieu à des contestations,des discussions sur les constats ?

Le deuxième niveau concerne lesrecommandations proposées aux mana-gers et à la direction générale au coursd’une réunion de synthèse à l’issue dela mission d’audit. Elles sont émisespour apporter une valeur ajoutée au dis-positif de contrôle interne. Sont-ellesacceptées ou refusées ? Sont-elles vali-dées par la direction générale. Une foisvalidées, elles sont alors inscrites dansun plan d’actions. Le manager concerné,indique la date et le responsable de samise en œuvre.

Pour les missions ou les demandesponctuelles de conseils, l’indice de satis-faction peut être mesuré à partir dunombre de recommandations mises enœuvre ou bien encore la demande crois-sante de conseils à l’audit. D’ailleurs,l’audit interne peut être confronté à desdifficultés d’équilibrage entre la confor-mité et le conseil. Le volume croissantde missions de conseil ne doit pas sefaire au détriment des missions clas-siques. D’un point de vue concret, j’ensuis plutôt à limiter les conseils à un cer-tain niveau pour pouvoir respecter leplan d’audit.

L’implication de l’audit internedans la marche de l’entreprise

Le directeur de l’audit interne ne parti-cipe pas de façon récurrente aux comitésexécutifs où sont prises les décisionsstratégique. Je suis sollicité de façon cer-taine sur la présentation du plan d’auditannuel et le suivi des recommandations,ponctuellement, deux fois par an, au caspar cas. J’ai des points d’affaires régu-liers deux fois par mois avec le présidentet le vice-président du comité exécutif etde facto, je suis en contacts réguliers

avec les deux autres membres ducomité. Par ailleurs, j’assiste aux conseilsd’administration de la société mère dugroupe et à différents comités transver-saux (comité financier, groupe de travailrisque et qualité…). Je peux aussi parti-ciper aux conseils d’administration desfiliales si je le souhaite. L’audit interneest donc impliqué de façon naturelledans la marche de l’entreprise.

Sur les prises de décision qui reposentsur des réflexions liées au contrôleinterne, je peux être consulté, commepour tout sujet significatif qui relève ducontrôle interne.Pour tout ce qui concerne la stratégie jene suis pas consulté. Est-ce que l’auditdoit être en amont en consultation surles grandes décisions stratégiques ? Jene le pense pas. Ce n’est pas notre pra-tique. Le comité exécutif s’appuieradavantage sur des études prospectives(études de marchés, plans à moyenterme...) ; il prendra ses décisions enfonction d’un certain nombre de para-mètres ; il envisagera des probléma-tiques organisationnelles, l’allocationdes ressources, la rentabilité des pistesétudiées. La problématique contrôleinterne ne sera pas abordée à ce niveau-là. Si un objectif stratégique est validé, je

peux être sollicité en tant que conseilpour aider à identifier les facteurs derisques pouvant affecter sa réalisation.Ou bien dans une mission d’audit pourvérifier que les orientations données parle comité exécutif se déclinent bien auniveau des sociétés. C’est une phased’exécution et non pas une phase deréflexion prospective en amont.

L’adaptation du serviced’audit interne à l’évolutionpermanente du métier

Pour suivre l’évolution permanente de laprofession, nous avons recours à la for-mation. Aussi, pour mettre à niveau noscompétences, nous faisons appel auxformations de l’IFACI pour suivre lesévolutions des normes professionnellesde l’audit, des bonnes pratiques decontrôle interne. J’ai également passé lacertification professionnelle « CertifiedInternal Auditor » de l’Institut des audi-teurs internes.

De plus, je participe au groupe profes-sionnel « Immobilier locatif » de l’IFACI,ce qui me permet de disposer d’un cadred’échange de qualité avec d’autres res-ponsables d’audits sur la maîtrise desrisques spécifiques liées à cette activité.Cette ouverture globale me permet

27

© Groupe Arcade

Résidence Vert Pré Chantereine – Choisy-le-Roi (94) – Architecte : Cabinet A5A – Photo : Pascal ROUSSE

28

DOSSIER


d’apprécier l’évolution du métier del’immobilier locatif et d’identifier lesadaptations auxquelles le service d’auditinterne peut être confronté.

Les champs d’action de l’auditinterne

L’audit interne couvre tous les champsd’audit possibles : l’ensemble des filialeset des activités du groupe, sans domaineréservé. Il n’y a pas de sanctuaire. Lepérimètre est donc large avec desthèmes de missions qui traitent desrisques « bruts »1 opérationnels ou stra-tégiques importants.

On peut cependant rencontrer deslimites. Par exemple, quand l’audit n’apas la compétence pour auditer un sujetqui nécessite une expertise particulière.Dans ce cas, nous réalisons la missionen nous appuyant sur des compétencesexternes spécialisées. D’autre part, nous avons vu que lesattentes des directions générales et desmanagers (conseil ou conformité) pou-vaient varier selon la maturité du dispo-sitif de contrôle interne. Elle impacteaussi le déroulement des missions d’au-dit. Si le dispositif est maîtrisé, la mis-sion se déroulera alors sans difficultésparticulières sous l’angle de la confor-mité.

Sinon, si le dispositif de contrôle interneest à développer ou à consolider, nousdéfinissons alors la bonne pratique.Nous recherchons les principaux risquesdu processus et les contrôles pour lesmaîtriser. Ensuite nous comparons lesmodes opératoires appliqués sur le « ter-rain » au regard de cette bonne pratique.En cas d’écarts, nous évaluons leurimpact. Les recommandations intègre-ront la bonne pratique de contrôleinterne, soit l’angle de conseil souhaitépar la direction générale et les mana-gers. Cette démarche à valeur ajoutéeconsomme des ressources de l’audit.Elle pourrait, si elle était trop fréquente,affecter alors la réalisation du plan d’au-dit, engendrant l’insatisfaction des com-manditaires des missions non réalisées.

Il est à noter que les responsablesrisques peuvent renforcer les équipesd’audit pour des missions d’audit signi-ficatives après accord de la directiongénérale concernée.

Au-delà, le bon équilibre repose dans lacomplémentarité existante entre les troislignes de défense du contrôle interne :les managers, les responsables risques,contrôleurs internes des sociétés…, etl’audit groupe. En effet, les missionsd’audits ponctuels ne se substituent pasà la responsabilité des sociétés quant à

la mise en place d’un contrôle interneadapté.

Dans ce contexte positif, les audits deconformité prévus au plan d’auditconsomment moins de ressources. Lesgains de temps dégagés permettent demieux répondre aux demandes deconseil des directions générales sur lamaîtrise des risques. Des synergies entrel’audit groupe et les acteurs de contrôleinterne des sociétés se développent ;retour d’expérience de l’audit sur desbonnes pratiques…

En résumé, l’ouverture de l’audit auconseil porteuse de valeur ajoutée pourles parties prenantes doit rester en cohé-rence avec la fonction audit dont la mis-sion principale reste de réaliser desaudits de conformité. Ces audits, rappe-lons le, peuvent comporter un voletconseil plus ou moins développé enfonction de la maturité du dispositif decontrôle interne. Enfin, la participationdes directions générales à l’élaborationdu plan d’audit constitue un facteurpositif : leurs attentes sont exprimées, lechamp d’audit est ouvert.

Diplômé d’une maîtrise dessciences techniques comptables etfinancières de Paris Dauphine ettitulaire d’un DESCF (Diplômed’études supérieures comptables etfinancières), Jean-Marc Pluzanskia débuté sa carrière au sein ducabinet d’audit Mazars de 1987 à1994, où il assurera les responsabi-lités de chef de mission pendant 4ans, avant d’intégrer le groupeArcade en 1994 en qualité de direc-teur de l’audit interne.

1 Avant prise en compte du dispositif de contrôleinterne.

Plan d’audit

Conseil d’administrationSociété mère

COMEX

2e Ligne de maîtrise

Conseil AdministrationFiliale

Direction générale


Management Opérationnel

Gestion des risques

Contrôle interne

Contrôle de gestion

Qualité

Contrôle permanent


Audit interne

Evalue l’e�cacité ducontrôle interne et dela gestion des risques

Contrôle périodique

29



L’organisation du contrôle interneau ministère de la Défense estrégie par le décret n° 2011-775 du

28 juin 2011 qui dispose « pour le minis-tère de la Défense, le contrôle interne est misen œuvre sous l’autorité du chef d’état-major des armées, du délégué général pourl’armement et du secrétaire général pourl’administration, dans leurs domaines decompétences respectifs ». Ce qui veut direque notre ministère, comparé à un autreministère, présente la particularité d’unpartage tripolaire, en fonction des acti-

vités de chacun (dans les autres minis-tères, le contrôle interne et l’auditinterne sont directement placés sous lacoupe du secrétaire général). Dans cecontexte, la mise en œuvre de l’auditministériel relève du contrôle généraldes armées, inspection générale minis-térielle. Schématiquement nous dispo-sons actuellement d’un système à deuxétages : un système qui s’appuie d’unepart sur l’inspection générale ministé-rielle et d’autre part sur les structuresd’audit infra ministérielles des troisgrands subordonnés, des missions d’au-dit spécifiques aux armées (le C2A –centre d’audit des armées), à la directiongénérale de l’armement et au secrétariatgénéral pour l’administration (SGA).Dans cet ensemble, j’ai la responsabilitéde la mission d’audit interne du SGA.

Le secrétaire général pour l’administra-tion détient la plupart des pouvoirs dessecrétaires généraux des autres minis-tères sans exercer une fonction de type« vice-ministre », laquelle est de fait par-tagée entre les trois grands subordonnésen fonction de leurs domaines de com-pétences : pour l’emploi des forces, c’est

le chef d’état-major des armées qui estlégitime ; pour l’équipement des forces,la préparation du futur des systèmes dedéfense et les exportations, c’est le délé-gué général pour l’armement qui estlégitime ; pour ce qui nous concerne, lalégitimité du SGA, et donc du secrétairegénéral pour l’administration, se trouvedans le soutien général du ministèrepermettant aux autres composantes duministère de se consacrer à leur cœur demétier. De plus, ce dernier exerce un rôleparticulier en matière de modernisationdu ministère. Il assure le pilotage et lacoordination des politiques transverses,délivre des prestations de service dans lecadre de politiques spécifiques et assurel’interface interministérielle. Il s’appuieainsi sur des directions et services quel’on retrouve dans tout secrétariat géné-ral et sur des entités spécifiques aumilieu de la Défense : la DRH-MD,DRH centrale du ministère ; la DAF, res-ponsable budgétaire et financier ; la DAJgarante des normes juridiques ; laDMPA, responsable de la politique demémoire, de la politique immobilière,du patrimoine culturel et des archives ;le SID, maître d’ouvrage en matière

Le contrôle interne au sein du ministère de la Défense, présente la particularité d’unpartage tripolaire, en fonction des activités de chacun : une responsabilité du chefd’état-major des armées, une responsabilité du délégué général pour l’armementet une responsabilité du secrétaire général pour l’administration. Cette particulariténe se retrouve dans aucun autre ministère.

Jean-François Charbonnier

Chef de la mission d’audit interne,Secrétariat général pourl’administration, Ministère de laDéfense

Le contrôle interneau ministère de la Défense :une organisation spécifique

30

DOSSIER


d’infrastructure ; la DSN, pilote du lienentre les armées et la jeunesse ; le SPACresponsable du soutien de l’administra-tion centrale.

La mission d’audit internedu SGA

J’ai créé, il y a cinq ans, la mission d’au-dit interne du SGA, structure modestede 7 auditeurs. L’idée de départ a été devoir comment amener les directions etles services à adhérer à la démarchenovatrice voulue et impulsée par lesecrétaire général, tout en recherchant àmontrer la valeur ajoutée pour chaquepartie prenante. J’ai demandé à chaquedirecteur, lors d’un entretien particulier,d’identifier ses principaux risques, ce quin’a pas toujours été aisé ; en effet, il esttoujours plus facile, du moins en appa-rence, d’identifier les risques de la direc-tion voisine. A cette date, le ministère dela défense venait, en précurseur, de lan-cer le déploiement du contrôle internecomptable et l’organisation ministérielleassociée afin de satisfaire aux obliga-tions de la LOLF et aux demandes ducertificateur des comptes de l’Etat1.

A partir du matériau recueilli, j’ai bâtiune première liste de thématiques d’au-dit, qui a été soumise au comité dedirection tout en expliquant à ses mem-bres pourquoi il était proposé d’auditertel et tel domaine.

Plus récemment, dans le cadre d’unedémarche de « management et contrôleinterne », des chargés de mission placésauprès du secrétaire général ont pilotél’élaboration d’une cartographie desprocessus qui s’enrichit de mois enmois. Son objet est d’identifier les pro-cessus métier sur lesquels travaillent lesdirections et services, et les risques quiportent sur chacun de ces processus. Lacartographie, réalisée par les acteurs dechaque métier, vise à être la plus perti-nente possible, c’est cependant une per-tinence toute relative. Si un regard exté-rieur est porté sur cette cartographie, ellepourrait être évaluée de manière assezdifférente, surtout si les risques demême nature ont été agrégés pour endonner une vision macroscopique. C’est

bien là toute la problématique d’unmanager des risques. Pour moi l’agréga-tion ou non des risques est un sujet fon-damental. Outre sa propre analyse, l’au-dit interne est intéressé à la fois par lavision globale issue de la cartographied’ensemble et, en fonction de ses carac-téristiques, par le risque élémentaire quipeut exister dans la direction A, B ou C.

Le rôle des parties prenantes

On peut avoir une vision extrêmementlarge de la partie prenante, qui peut allerd’un directeur jusqu’au collaborateur. Sije tente de définir une partie prenante« c’est toute personne qui a pouvoir de déci-sion pendant la réalisation de l’audit, enparticulier pendant la prise d’actions liéesaux résultats de l’audit et à leur mise enœuvre. D’une manière générale, les partiesprenantes sont donc les bénéficiaires del’audit. »

Au sein du SGA, ma première partieprenante, c’est le secrétaire général. Jedépends de lui et c’est lui qui légitimemon action.

On sent poindre de nouvelles partiesprenantes : le contrôle général desarmées, l’inspection des armées, lesarmées, la DGA, le CGFI,… sans oublierla Cour des comptes qui a ses propresbesoins lorsqu’elle mène ses enquêtes.Quand on parle de la Cour, de quelleCour parle-t-on ? De la Cour en tantque magistrat, juge des comptes ? Ou dela Cour en tant que certificateur descomptes de l’Etat ? Ce sont des rôlesextrêmement différents exercés par lesmêmes acteurs. Dans un cas c’est lemagistrat qui intervient, dans l’autrec’est le certificateur. Si le magistrat a unrôle bicentenaire, le rôle de certificateura moins de dix ans. Lors des entretiens,il n’est pas toujours facile d’identifier sile questionnement de la Cour émane dumagistrat ou du certificateur. Même sic’est clair d’un point de vue dogmatique,c’est plus flou dans la mise en œuvre etdans la possible perméabilité des résul-tats.

Quelles que soient les parties prenantes,il faut démontrer, à chaque intervention,

que la fonction d’audit interne est à lahauteur des enjeux et de leurs attentes.

Le comité d’audit

Nous n’avons pas, aujourd’hui, decomité d’audit stricto sensu. Sous cer-tains aspects, nous faisons jouer ce rôleau comité de direction, par exemple enlui demandant d’avaliser le plan d’audit.De fait, les attentes du comité de direc-tion sont sensiblement les mêmes queles attentes des directions et services, et,comme eux, le comité est souvent enattente de missions de conseil plutôtque d’assurance. Il en résulte un « risqued’audit » à ne pas négliger de dérive versdes missions dans lesquelles l’auditeurpourrait se substituer à l’audité, perdantson indépendance en devenant acteurde la mise en œuvre de ses propositions.Par exemple, une question d’audité« vous avez réalisé un état des lieux dudéploiement de tel dispositif, un audi-teur ne pourrait-il pas nous aider àdéterminer les actions à mettre enœuvre face aux propositions ! » Les mis-sions de conseil doivent donc être biencernées et bien périmétrées avec unmandat extrêmement clair.

D’une manière générale, concernant ceque pourrait être un comité d’auditinterne au niveau infra-ministériel, ilimportera de le définir en fonction desbesoins du décideur dont dépend l’auditinterne et qui le légitime ; ce doit êtreavant tout, un outil à sa main. Ce n’estpas parce que les structures d’audit sontdémultipliées que le comité d’audit deplus haut niveau doit être systématique-ment démultiplié. Cela mérite réflexion.Si démultiplication il y a, un axe d’étudepourrait être de définir un comité d’au-dit orienté audit interne et risques, lerapprochement avec les risques sem-blant inéluctable. Quelle en serait lacomposition ? Est toujours posée, pourrassurer, la question de la participationdes directions et services opérationnelspar rapport aux personnalités qualifiéesvenant de l’extérieur. De mon point devue, le comité d’audit à formaliser nedoit pas se transformer en « grand-messe » des directions et services. C’estune instance de travail et non une nième

31



instance d’information réciproque. Si teldevait être le cas, nous perdrions toutl’apport d’un comité d’audit qui doitnotamment « challenger » les travaux decontrôle et d’audit internes au profit dudécideur. Pour cela une solution pourraitêtre de constituer le comité autour d’unadjoint au décideur et de 2 ou 3 per-sonnes qualifiées (par exemple des per-sonnes reconnues au sein de notre sec-teur d’activité mais qui n’y œuvrent plusdepuis quelques années ; elles ne sontpas coupées de la réalité du terrain touten ayant un regard différent dont pour-rait se nourrir le comité). Une telledémarche préserverait la capacité dedécision du décideur puisqu’il n’inter-vient pas directement dans le comité quidoit le conseiller ; en ce sens le parallèlepeut être fait avec le comité d’audit misen place dans le secteur privé. En fonc-tion des sujets à traiter, les directions etservices concernés pourraient être invi-tés à s’exprimer en tant que membresnon délibérants, l’audit interne assurantle secrétariat du comité. Enfin, lesséances de ce comité pourraient êtrepréparées lors d’une réunion ad hocréunissant les acteurs concernés desdirections et services. A ce stade, ils’agit-là d’un regard iconoclaste sur unsujet sensible pour les administrationsde l’Etat. A suivre donc pour un retourd’expérience du fonctionnement réeldes comités d’audit déjà formalisés…sur le papier.

Les recommandations,leur suivi

Les recommandations ne doivent pasêtre trop nombreuses : les auditeurs ontpour objectif d’en limiter le nombre etd’émettre au maximum une dizaine derecommandations. Celles-ci doivent êtrerobustes, pragmatiques et applicables !Les propositions de moindre impor-tance font désormais l’objet de pointd’attention dans les rapports d’auditsans pour autant être traduites enrecommandations.Quant à leur suivi, nous commençonstout juste à mener les actions utiles (jevous rappelle que notre structure n’aque cinq ans d’existence). Nous n’avonspas initialisé, dès le départ, un suivi des

recommandations, certainement à tort,mais un retour sur plan d’action ; eneffet, depuis sa diffusion, des recom-mandations ont pu devenir obsolètes,des orientations différentes ont pu êtreprises, parce que les processus et lesorganisations évoluent vite, et il ne sertà rien de vouloir maintenir, par puredogmatisme, une recommandation quin’a plus de raison d’être. De plus, noussommes une petite structure, et nous nepouvons pas nous permettre de mettreen place une « usine à gaz », car le tempsqui y serait consacré serait du tempsperdu pour notre cœur de métier, lesmissions d’audit interne.

En termes de plus-value : l’action qui aété prise en réponse à la recommanda-tion a permis de réduire tel ou tel risque.Si elle n’avait pas été menée à bien, l’ef-ficacité recherchée voire l’efficience enaurait pâti ; si l’action prise est efficacevoire efficiente, alors il y a une réelleplus-value. C’est bien là que doit sesituer la valeur ajoutée de l’audit pourune partie prenante, cette dernière res-tant libre de ses choix d’appliquer ounon les recommandations (tout en jus-tifiant ses refus éventuels).

Du bon usage des normes

Pour moi, aujourd’hui, les normes sontun garde-fou, un socle. Je ne dirais pasque nous les appliquons à la lettre, cen’est pas vrai ; nous appliquons l’espritde la norme en fonction de nos proprescontraintes. Je suis un très grand défen-seur des normes, mais il faut raison gar-der dans l’application qui en est faite.On ne peut pas appliquer aveuglémentl’ensemble des normes à tous les sujets,sans se poser de questions quant à leurapplication.

Les domaines réservés

Il existe, dans certaines organisations,des domaines réservés dont l’auditinterne est exclu. Ce n’est pas le cas dansma structure. J’ai une totale liberté d’ac-tion et je peux proposer d’intervenir surn’importe quel sujet. J’insiste sur cepoint car je crois que c’est assez rarepour être souligné.

De la conduite du changement

En conclusion, je voudrais évoquer unequestion qui me préoccupe régulière-ment : celle du changement ou plusexactement de la conduite du change-ment.

Pour moi, l’audit est un levier essentielen matière de changement et d’évolu-tion des organisations. Pour progresser,il est nécessaire d’identifier, préalable-ment à toute démarche, les leviers d’ac-tion de même que les freins sur lesquelsil faudrait agir ; ensuite il est nécessairede s’interroger sur les changements àproposer pour que les choses bougent.Quand je dis changement, je m’inscrisdans une démarche de conduite duchangement, une démarche orientéemanagement, orientée processus orga-nisationnels, prenant en compte l’hu-main.

On ne privilégie pas suffisamment ceque pourrait produire l’audit interne auprofit des changements organisation-nels. Dans des périodes de profondschangements, ce qui est le cas dans lesservices de l’Etat, il m’apparaît que l’au-dit interne constitue un levier sous-estimé et sous-utilisé dans le cadre desdémarches de conduite du changement.C’est un axe de travail qu’il faudraitapprofondir… Nous sommes certaine-ment tous fautifs : l’audit interne ne semet pas assez en avant et ne proposepas ses services aux parties prenantes,ces dernières ne soupçonnant pas vrai-ment l’apport de l’audit interne dontelles peuvent avoir une vision restrictive.

Il est nécessaire de faire œuvre de péda-gogie en simplifiant le discours au profitdes parties prenantes qui ne sont pasdes spécialistes de l’audit ! Un effortprofessionnel significatif reste à fairetant pour l’audit interne que pour lecontrôle interne pour les inscrire concrè-tement au service de la maîtrise de l’ac-tivité et des risques tout en partageantles bonnes pratiques.

1 Cf. Revue « Audit & Contrôle internes » n° 200 -juin 2010

32

DOSSIER


La première partie prenante duDAI, c’est la direction générale etle comité exécutif (Comex). Cinq

directeurs généraux délégués ont encharge chacun un secteur du groupe. LeDAI dépend directement du directeurgénéral – rattachement hiérarchique –avec un rattachement fonctionnel auprésident du comité d’audit et descomptes.

Je ne suis bien entendu pas membre etne participe pas systématiquement auxréunions du Comex, notamment pourne pas être juge et partie. J’y suis convié,soit de manière exceptionnelle, soit tousles trimestres environ pour faire unpoint sur les missions en cours, les mis-sions réalisées, le taux de retour desplans d’action relatifs aux recommanda-tions émises, et pour répondre à desquestions diverses, sur tel ou tel pro-blème particulier, qui peut parfoisdéclencher une mission ou alimenter leprochain plan d’audit.

Avec le directeur général, les relationssont plus informelles. Nous faisons unpoint avec lui deux fois par an, demanière officielle et, de manièreimpromptue, sur des sujets divers. Nousessayons de rencontrer individuellementchaque membre du comité exécutif auminimum deux fois par an, en milieu eten fin d’année pour la préparation duplan d’audit. Nous pouvons également

les rencontrer, et c’est fréquemment lecas, en fonction de la nature des mis-sions, au démarrage d’une intervention,ou bien pour en déterminer le périmè-tre, et systématiquement à la fin de lamission.

La deuxième partie prenante, à mettrepratiquement au même niveau que lapremière, mais avec des objectifs diffé-rents, est le comité d’audit et descomptes. En dehors des réunions offi-cielles du comité, nous sommes amenésà rencontrer plusieurs fois par an le pré-sident de ce comité, indépendammentdu directeur général, qui n’assiste d’ail-leurs pas aux réunions du comité.

Une gouvernance complexe

Pour le comité d’audit, la situation est unpeu particulière : nous sommes ungroupe de protection sociale qui a unegouvernance assez complexe dans lamesure où il y a, d’un côté, une partie du

Les parties prenantes du DAI de AG2R La Mondiale sont, au premier chef, la directiongénérale et le comité exécutif et, bien entendu, le comité d’audit et des comptes ;ensuite, il faut compter également avec les autorités de tutelle, les fédérations agirc-arrco et les divers comités internes, etc. La prise de conscience progressive de l’im-portance de tout ce qui touche aux risques et au contrôle interne, a conduit à créerdeux entités distinctes : comité d’audit et des comptes et comité des risques.

Eric Burlot

Directeur de l’audit interne,AG2R La Mondiale

Comment répondre au mieuxaux attentes des partiesprenantes de l’audit interned’AG2R La Mondiale ?

33



groupe à gouvernance paritaire– AG2R – et de l’autre côté, une partie àgouvernance mutualiste, La Mondiale.La gouvernance a d’ailleurs beaucoupévolué depuis le rapprochement cesdernières années vers une réduction dunombre de comités spécialisés, sachantque, dans une gouvernance paritaire,tous les organes de gouvernance doi-vent être constitués de manière pari-taire, c’est-à-dire comporter dix per-sonnes au minimum, cinq représentantsdes syndicats salariés et cinq représen-tants des syndicats patronaux ; tandisque la gouvernance mutualiste estconstituée à l’origine, des sociétairesélus au conseil d’administration et quireprésentent l’ensemble des sociétaires.

Nous sommes donc sur deux modes degouvernance différents, avec des profilsd’administrateurs différents. A l’origine,il y avait trois comités d’audit : un comitéd’audit La Mondiale, dont l’existenceétait ancienne ; un comité d’audit AG2RPrévoyance sur la partie prévoyance del’activité d’AG2R, constitué à partir de2010 ; et enfin, un comité d’audit de laSGAM (Société de groupement d’assu-rances mutuelles) pour l’ensemble desactivités concurrentielles du groupe.

Il a fallu un peu plus d’un an, pour arri-ver à unifier le fonctionnement descomités autour d’une seule instance, enl’occurrence le comité d’audit et des

comptes de la SGAM. Celui-ci regroupedes représentants issus à la fois duconseil d’administration de La Mondialeet du conseil d’administration d’AG2RPrévoyance. Il y a, dans ce comité d’au-dit, une représentation « paritaro-mutualiste » où l’on retrouve, d’un côté,les dix administrateurs AG2R issus dessyndicats patronaux et des syndicatssalariés et les cinq administra-teurs issus de La Mondiale.

Le président ducomité d’audit etdes comptes estactuellement unadministrateurissu du CA de LaMondiale, qui estégalement admi-nistrateur de laSGAM. Expert-comptable et commis-saire aux comptes, prési-dent de la CCEF et ancien prési-dent de l’Ordre des experts-comptablesParis IdF, il possède naturellement unetrès bonne culture dans les domainesnous concernant.

Aujourd’hui, le comité d’audit est fort dequinze personnes. Il se réunit normale-ment trois à quatre fois par an, avec desordres du jour qui varient en fonction dela période de l’année. Généralement, ily a un comité d’audit fin janvier, uncomité d’audit en avril et un comitéd’audit en septembre. Il peut y en avoiren juin et en novembre. Le comité d’au-dit de fin janvier est axé sur la détermi-nation du plan d’audit. C’est à cemoment que je valide mon plan d’auditavec le comité et avec le directeur géné-ral.

Les autres parties prenantes à consi-dérer sont les commissaires aux comptesavec qui nous échangeons sur la natureet le périmètre de nos travaux respectifs ;les autorités de tutelle (ACPR, AMF, lesfédérations agirc-arrco …). Il ne faut pasoublier non plus les comités internesauxquels moi-même ou la directriceadjointe participe, le comité des risquesopérationnels, les comités sécurité …

Le rôle de l’ACPR

L’ACPR (Autorité de contrôle prudentielet de résolution) est une entité qui aregroupé le contrôle des banques aveccelui des assurances, mutuelles et insti-tutions de prévoyance.

Dans une certaine mesure, nous pou-vons avoir affaire aux deux

volets de compétence etd’autorité de cet orga-nisme. Quand onparle des sociétésd’investissementdu groupe, doncdes sociétés degestion d’actifsou des sociétésd’épargne sala-riale, nous

sommes en relationavec les contrôleurs du

secteur Banque del’ACPR, qui s’appuient sur la

règlementation bancaire, en l’occur-rence le CRBF 97-02.

Lors des contrôles plus fréquents sur lesactivités d’assurance, ce n’est évidem-ment pas toujours l’audit qui est le plussollicité, mais plutôt les directions oudépartements d’actuariat même si lescontrôleurs prennent de plus en plusl’habitude de demander systématique-ment les rapports d’audit.

A terme et avec la mise en œuvre deSolvabilité 2, l’objectif de l’autorité decontrôle est, je pense, de réglementer lesecteur de l’assurance avec un cadre dutype de ce que l’on trouve pour les acti-vités bancaires (CRBF 97-02).

Il est clair que les missions de l’ACPR etles insuffisances mises en évidence parses contrôles, induisent indirectementdes missions d’audit.

Les attentes du comité d’auditet de son président

Je pense que la manière de fonctionnerd’un comité est très dépendante de lapersonnalité de son président. Ce der-nier fait en sorte que durant les comités

« La manièrede fonctionner d’un comitéest très dépendante de la

personnalité de son président »

34

DOSSIER


d’audit, le temps soit également partagéentre les arrêtés de comptes, l’avis descommissaires aux comptes, les sujetsd’actualité, de fiscalité, d’audit interne…Un bon équilibre est respecté avec tou-jours un temps pour faire un point sur leplan d’audit. Pendant plusieurs annéesle comité d’audit et des comptes étaitsimultanément comité des risques.Lorsque le comité d’audit et la directiongénérale ont pris conscience de l’impor-tance de tout ce qui touche aux risqueset au contrôle interne, deux entités dis-tinctes ont été créées : le comité d’auditet le comité des risques.

Le sentiment de responsabilité desmembres du comité est de plus en plusfort. Ceux-ci se sentent responsablesnon seulement vis-à-vis des assurés etdes clients, mais aussi des instances syn-dicales qu’ils représentent pour lesadministrateurs AG2R. Ils veillent à ceque le rôle de l’institution soit respecté,et à ce que l’on reste dans la ligne déon-

tologique que l’on attend d’un telgroupe.Les administrateurs membres des comi-tés veulent avant tout comprendre lesaspects souvent complexes du groupe etconnaitre l’ampleur des risques. Ils sontévidemment demandeurs d’une assu-rance, plus que de conseil. Des inquié-tudes peuvent conduire le comité àdemander l’exécution de missions ou laprésentation de certains « reportings »,qui ne soient pas nécessairement enphase ou en accord avec les demandesdes directions opérationnelles.

Le Comex et les deux présidents decomités (le président du comité d’auditd’AG2R Prévoyance, et le président ducomité d’audit de LA MONDIALE quiest en même temps président du comitéd’audit et des comptes de la SGAM)reçoivent des rapports complets, avecune synthèse reprenant les principalesactions. Un exposé est fait en séance decomité d’audit.

Une fois par an, avant le comité d’auditde janvier où est débattu le plan d’audit,le président du comité rencontre lesauditeurs afin d’échanger avec eux surdifférents sujets : l’année d’audit écou-lée, les moyens déployés et l’évolutiondes effectifs, les axes des futures mis-sions éligibles au plan, etc.

Avec l’évolution de la réglementation,les rapprochements dans le groupe et lamobilité des collaborateurs, l’effectif del’audit interne varie ces dernièresannées entre 12 et 15 personnes.

Finalement au-delà même de la vérifi-cation de la conformité et de l’efficacitédes processus de contrôle, je pense quela direction générale considère l’auditcomme un bon prestataire interne deconseils, qui peut donner une visionclaire de certaines situations, que l’onn’obtient pas toujours des managersrespectifs, en lutte avec les problèmesopérationnels quotidiens.



Guide d’audit de la miseen conformité du middle officedes dérivés de gré à gré :Nouvelle règlementation EMIR

Depuis 2008, les critiques sontdevenues de plus en plus vivesà l'égard des produits dérivés

de gré à gré, et en particulier les dérivésde crédit. Bien qu'ils ne soient pas strictosensu à l'origine de la crise, ils ont été unpuissant vecteur de contagion, qui del'éclatement de la bulle du crédit immo-bilier est devenue une crise systémique.

Les produits dérivés de crédit mis encause dans la crise sont des produitsstructurés, c'est à dire une combinaisonde plusieurs produits financiers, créésgrâce au principe de la titrisation et dontl'objectif initial est de se défaire durisque de crédit. Ce principe de la titri-sation permet de transformer descréances à long terme peu liquides, enmajorité des créances immobilières, en

titres financiers subordonnés à un sous-jacent (les créances initiales), plusliquides et échangeables sur les marchésfinanciers. Il en résulte ce que l'on qua-lifie génériquement d'ABS (Asset BackedSecurities) et plus spécifiquement desCDO (Credit Default Obligation) qui sontissus de la titrisation de créancesdiverses (immobilier, auto, consomma-tion...). Ces produits sont ensuite ven-dus à des investisseurs, qui, grâce à deseffets de levier importants, profitent derendements élevés et a priori sans risqued'après les agences de notation.

Par ailleurs, AIG (American InternationalGroup, a multinational insurance corpora-tion) négociait sur les marchés des CDS(Collaterized Debt Obligations) afin de secouvrir contre le risque de défaut d’une

contrepartie (survenance d’évènementde crédit). Les CDS sont, autrement dit,des assurances crédit. Les investisseurspaient une prime, dont la valeur fluctueen fonction de la confiance du marchéenvers la contrepartie et sa solvabilité.En échange, AIG assume le risque dedéfaut pour lequel il est rétribué et metrégulièrement en garantie du collatéral(une provision) lorsque la valorisationdu sous-jacent témoigne d'un risqueaccru de défaut.

L'ensemble de ces activités est hors-bilan. Les contrats sont négociés de gréà gré, c'est-à-dire de manière bilatéralesans autre tierce-partie pour réguler lemarché. Autrement dit, le marché n'estpas transparent et masque des engage-ments colossaux. Entre 1987 et 2009, le

Le Prix Olivier Lemant est destiné à récompenser le meilleur mémoire de Master(e) consacré aucontrôle interne ou à l’audit interne et réalisé dans une université ou une grande école parte-naire.Un jury de professionnels, constitué d’Arnaud Miroudel (BNP Paribas), Raphaël Siffert (BNP Pari-bas), Marc Sordello (CNP) et Philippe Thierry-Mieg (AREVA), ont ainsi primé des études ourecherches à finalité pratique.Les mémoires primés en 2013 sont :• 1er prix – « Guide d’audit de la mise en conformité du middle office des dérivés de gré à gré :

Nouvelle règlementation EMIR » par Loïc Kerboas (IAE Aix-en-Provence)• 2ème prix – « Contrôle interne et routinisation des pratiques comptables opérationnelles : un

vecteur d’apprentissage ? » par Marine Lacourte (IAE Tours)• 3ème prix – « La maîtrise des risques liés au processus de gestion des réclamations clients » par

Henri Fritsch (ESC Toulouse)

Vous pouvez consulter ces mémoires sur le site internet de l’IFACI.

Loïc Kerboas

Auditeur, groupe CréditAgricole

36



marché des produits dérivés s’est accrude 497 %, atteignant, en 2011, 647 762milliards de dollars en valeur nominale,représentant à lui seul plus de 50 fois lemontant des échanges d’actifs réels et 9fois le PIB mondial.

Les dérivés de crédit mis en cause nereprésentent qu'environ 4 % du marché.Ces chiffres doivent cependant être prisavec précaution car ils représentent lemontant nominal inscrit au contrat, sansconsidérer les principes de compensa-tion du portefeuille, de compensationentre les contreparties et de valorisationau prix du marché. Pour autant, l’opacitédu marché ne permet pas de mesurerobjectivement l'exposition réelle. D'au-tre part, le marché des dérivés de créditde gré à gré est un marché concentrédont les principales banques euro-péennes et américaines représententprès de 85 % de l'activité.

Le marché immobilier américain mon-trant ces premiers signes de faiblesse arévélé la fragilité du marché des produitsdérivés ainsi que son caractère systé-mique. C'est ce qu'avait soulevé dès2003 Warren E. Buffet en qualifiant lesproduits dérivés de « bombes à retarde-ment » et d'« armes financières de des-truction massive ».

Les Etats-Unis et l'Europe ont alorsmesuré l'ampleur de la crise et entreprisd'encadrer ce marché jusqu'alors dérè-glementé. Les représentants du G20,réunis à Pittsburgh en septembre 2009,vont dès lors prendre l'engagement deréguler le marché des dérivés de gré àgré avec pour objectifs de le rendre plustransparent, de prévenir les risques sys-témiques et de protéger les consomma-teurs contre les abus de marché. Dès2010, le Dodd-Franck Act est adopté auxEtats-Unis. En Europe, le règlement surles infrastructures de marché euro-péennes ou règlement EMIR est longue-ment discuté jusqu'à son adoption défi-nitive en juillet 2012, prévoyant unemise en conformité progressive dès2013.

Le renforcement du cadre règlementairedu secteur financier impacte significati-

vement la chaîne de valeur des produitsdérivés de gré à gré et implique parallè-lement une mise en conformité de leurprocessus de gestion, en particulier lesactivités de middle office. C'est dans cecontexte que ce travail a été élaborépour constituer un guide d'audit opé-rationnel de mise en conformité dumiddle office des produits dérivés degré à gré.

A cet effet, le règlement EMIR introduitentre autres de nouvelles obligations.Notamment, les informations sur lesopérations des dérivés de gré à gré doi-vent être collectées par les référentielscentraux ; les dérivés qui y sont éligiblesdoivent être compensés multilatérale-ment via une chambre de compensa-tion ; les transactions bilatérales doiventêtre collatérisées afin de réduire le risquede contrepartie.

Il est alors essentiel de couvrir lesrisques de mise en conformité des ser-vices de gestion des dérivés de gré à gré.Notamment en mettant en place despoints de contrôle afin d’accompagnerla mise en conformité et de garantir unegouvernance intégrée et efficace ; l'adé-quation de l'organisation des services degestion ; l'interopérabilité, l'exhaustivitéet la fiabilité des systèmes d'informa-tion ; l'encadrement juridique desaccords de partenariats ainsi que la maî-trise des risques opérationnels (valorisa-tion, compensation...).

Il est évident que le renforcement de lalégislation modifie substantiellement lesprocessus de gestion des produits déri-vés. Les nouvelles exigences de com-pensation, de valorisation et de gestiondu risque de contrepartie requièrentd’importants moyens techniques ethumains d'évaluation des risques.Néanmoins, les apports de la règlemen-tation permettent avant tout une meil-leure maîtrise des risques et imposentfinalement l’usage de processus deréduction du risque qui, au demeurant,existaient déjà et se sont développésdepuis 2008 en raison de la volatilité dumarché. En outre, les exigences accruesde fonds propres liés à la règlementationde Bâle III mettent en exergue dans le

même temps la nécessité de rationaliserles liquidités. La réconciliation et lacompression de portefeuille sont à cetégard des outils d'optimisation.

Par ailleurs, il faut souligner le transfertdu risque systémique des grandes insti-tutions bancaires vers les contrepartiescentrales de compensation concentrantd’autant les risques. Les autorités detutelle devront exercer une surveillancequasi infaillible sur les contrepartiescentrales, au risque que la prochainecrise impactant, de près ou de loin, lemarché des dérivés de gré à gré ne sepropage irrémédiablement à l’ensembledes institutions financières. C’est à cetitre que l’Union européenne s’est dotéed’une nouvelle infrastructure de marchécréant quatre nouvelles autorités detutelle et de surveillance du systèmefinancier dont le centre européen durisque systémique (CERS). Cependant,les mesures règlementaires d’encadre-ment des contreparties centrales suffi-ront-elles ? Une gouvernance euro-péenne du risque systémique est-elleréellement opérationnelle ? Ces ques-tions émergeront tôt ou tard dans l’ur-gence de la situation mais il n’est pasexclu qu’un travail de fond sur ces ques-tions puisse être mené au travers d’uneapproche par les risques.

Loïc Kerboas a effectué son par-cours universitaire en langues etcommerce international, et a tra-vaillé dans un institut d'étude mar-keting sur le secteur de la grandedistribution. Après un an d'expé-rience, il rejoint l'Institut d'Adminis-tration des Entreprises d'Aix-en-Provence dans la filière « auditinterne » ainsi que le CACEIS entant que stagiaire. Depuis octobre2012, il poursuit sa carrière d'audi-teur au sein du groupe Crédit Agri-cole dans le secteur de l'assurance.Il a obtenu en 2013 le prix OlivierLemant.



Evénements

Comment mener unentretien efficace lorsd’une mission d’auditinterne ?

Réunion mensuelledu 18 juin 2013

Pourquoi l’entretien est-ilun outil essentiel de lamission d’audit interne ?Pour « vendre » la fonctiond’audit interne, créer unlien préalable à la missionet établir une qualité derelation (« débloquer lesverrous »). Pour accéder àl’information tangible etintangible et obtenir unmaximum d’informationsen un minimum de temps :bien entendu les informa-tions reçues seront véri-fiées.

Comment préparer unentretien d’audit interne ?En se documentant sur l’in-terlocuteur, pour faire untravail positif. Les deux par-ties (auditeurs/audités) onttout à y gagner, et l’organi-sation dans son ensembleaussi. En circonscrivant lecadre du sujet. En préparantles conditions de l’entretienà un triple niveau : tech-nique (gain de temps, cré-dibilité) ; matériel (salle deréunion, projecteur…) ;mental/psychologique(courtoisie, cordialité…).50% de chances de réussitede l’entretien tiennent àune bonne préparation.

Quelles sont les règlesd’un entretien efficace ?Un travail de préparation :préparer une grille d’entre-tien ou un questionnaire ;définir une structure d’en-tretien ; mettre en placeune relation avec l’audité ;introduire le contexte del’entrevue (thèmes, objec-tifs, plan) ; présenter unordre du jour des sujets àaborder ; s’assurer de lacompréhension de ces pré-requis par l’interviewé. Un travail de communica-tion : laisser parler ou faireparler l’interlocuteur ; utili-ser les bonnes techniquesde questionnement ; refor-muler les propos de l’inter-locuteur ; gérer le temps ;piloter son propre compor-tement ; valider les proposéchangés, en find’entretien : restituer lespoints forts, les faiblesses,les non-conformités, lespossibilités d’amélioration.Un travail de vérification :toutes les informationsrecueillies doivent être véri-fiées. Des tests seront effec-tués, des preuves serontdemandées, des données,des chiffres seront colla-tionnés.Une étape majeure, laconclusion : reformuler lesidées force ; demander sides points importants ontété omis ; développer despoints connexes ou directe-ment liés à l’audit ; remer-cier son interlocuteur pourle temps accordé et la qua-lité de l’entretien, de la clô-ture duquel dépendra l’im-pression sur laquelle resteral’interlocuteur.

Quelles sont les erreurs àne pas commettre ? Pas-ser outre les points ci-des-sus. Instaurer un position-nement inadéquat (pas derapport de force, pas deleçons…) ; négligerl’écoute ; travailler« contre » et non « avec »les audités ; suivre songuide d’entretien de façonrigide ; traiter des sujetsdécalés par rapport aupositionnement hiérar-chique de l’interlocuteur.Ne pas être le déclencheurd’un entretien conflictuel,mais savoir le gérer, etconnaître les techniques degestion des comportementsdifficiles.

Comment faire unebonne analyse de l’entre-tien et l’intégrer dans lesconclusions de l’audit ?Faire le tri entre les infor-mations utilisables et nonutilisables. Valider lecontenu de l’écrit définitif,dans un souci de transpa-rence, et pour pouvoir ren-dre non opposable soncontenu.

Focus sur les guidespratiques : « Formuleret exprimer uneopinion d’auditinterne »

Réunion mensuelledu 12 septembre 2013

Qu’est-ce qu’une opiniond’audit interne ? C’est uneassurance ou un avis surl’organisation dans sonensemble (opinion de

niveau macro) ou sur descomposantes de l’organisa-tion (opinion de niveaumicro). L’assurance positive(ou assurance raisonnable)confère le niveau d’assu-rance le plus élevé, c’estune des opinions d’audit laplus solide ; elle nécessite leniveau de preuve le plusélevé. Une opinion d’assu-rance négative (ou limitée)constitue une déclarationselon laquelle rien n’aretenu l’attention de l’audi-teur à propos d’un objectifparticulier ; une telle opi-nion est moins fiablequ’une assurance positive.

Comment émettre uneopinion ? Une opinion nedoit pas être le résultatd’une réflexion mais celuid’un processus planifié. Lebesoin d’obtenir une opi-nion d’audit et la capacitéde l’audit interne à expri-mer cette opinion dépen-dent de plusieurs facteurstels que comprendre lesbesoins des parties pre-nantes ; déterminer le péri-mètre, la nature, le calen-drier et l’ampleur du travaild’audit requis ; s’assurerque les moyens sont suffi-sants pour accomplir le tra-vail et en évaluer les résul-tats. Le responsable de l’au-dit interne doit préciser,avec la direction générale etle conseil, les exigences desparties prenantes en termesd’opinion d’audit, y com-pris le niveau d’assurancesouhaité.

L’opinion et la responsa-bilité de l’auditeur. L’opi-

38



nion de l’auditeur engagesa responsabilité. L’utilisa-tion d’opinions peut renfor-cer la confiance dans lesrapports d’audit interne.Mais cette confiance renfor-cée peut avoir des consé-quences juridiques, notam-ment si quelqu’un s’appuiesur le rapport d’audit, etqu’une défaillance ducontrôle interne apparaîtaprès la publication du rap-port.

A quoi sert une opinion ?Elle doit permettre derépondre à plusieurs ques-tions. Vis-à-vis du conseil :quelles sont les priorités,quels sont les degrés deconfiance ? Vis-à-vis del’entité : le travail est-il bienfait ? Vis-à-vis du risk mana-gement : Y a-t-il une évolu-tion ? Vis-à-vis du contrôleinterne : faut-il modifiercertains processus ?

Les difficultés à émettreune opinion. Elles peuventnaître d’une incompréhen-sion culturelle si le référen-tiel n’est pas clairement misen place et accepté, ou lapolitique du groupe claire-ment affichée ou comprise ;elles peuvent aussi êtreliées à des problèmes tech-niques complexes, sourcesd’incompréhension entreles acteurs ; des événe-ments ou des situationspeuvent également influersur l’opinion. Enfin il fauttenir compte de l’évolutiondes problématiques et del’adaptation duréférentiel.

Le grand livre du contrôle degestionAuteurs : Marie-Noëlle Désiré-Luciani, Daniel Hirsch,Nathalie Kacher, Marc PolossatEditeur : Eyrolles

On a beaucoup écrit sur le contrôle de gestion. Mais il nes’agit pas ici d’un énième ouvrage sur le sujet. L’ambitiondes auteurs est de présenter la fonction de façon pragma-tique, les objectifs, l’organisation, la stratégie ; un pano-rama vivant du métier et de ses outils.

Après les définitions et la présentation des concepts clés,une première partie traite des enjeux : l’influence de lastructure, l’adaptation à la culture, le positionnement et lerôle du contrôleur de gestion, les résultats obtenus dans

les centres de responsabilité.

La deuxième partie traite des outils pour prévoir l’action, la mesurer et la favoriser.

Dans la troisième partie, il est question des spécificités sectorielles du contrôle de gestion :banque et assurance, prestations de service, secteur public, secteur associatif, PME.

La quatrième partie indique la démarche de mise en œuvre d’un contrôle de gestion, s’attacheà montrer l’influence de la culture de management et du leadership, et du savoir-être du contrô-leur de gestion.

L’ouvrage foisonne d’exemples concrets, d’exercices et de méthodes pratiques, d’outils divers,et apporte des réponses aussi bien aux professionnels qu’aux étudiants.

Théorie et pratique de l’auditinterne - 8e éditionAuteur : Jacques RenardEditeur : Eyrolles

Voici la 8ème édition d’un ouvrage fondamental, que toutbon auditeur interne se doit d’avoir à portée de la main.

L’audit interne est une fonction qui évolue rapidement etconstamment, pour pouvoir s’adapter à un monde lui-même en évolution permanente. La 8ème édition prend encompte les innovations parmi lesquelles figurent : l’adap-tation à l’édition 2013 des normes professionnelles ; l’inté-gration de la complexité croissante du fonctionnement desorganisations ; la mise à jour des statistiques nationales etinternationales sur la fonction, au vu des enquêtes les plus

récentes ; l’évolution et l’incidence des réglementations française et communautaire ; les nou-veaux équilibres entre consultants internes en entreprise et les problèmes posés ; l’attentioncroissante portée au management des risques et ses conséquences ; le développement desoutils informatiques.

Ce guide précieux pour les auditeurs en activité, sera lu ou consulté avec profit par les diri-geants et les managers opérationnels, comme par les étudiants.

Lu pour vous

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

Calendrier 2013SESSIONS Durée Tarifs

adhérentsTarifs nonadhérents janv. févr. mars avril mai juin juil. sept. oct. nov. déc.

SE FORMER AU CONTRÔLE INTERNES’initier à la maîtrise des activités et au contrôle interne 2 j 950 € 1 125 € 10-11 11-12 14-15 8-9 13-14 10-11 3-4 9-10 3-4 14-15 2-3

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 14-16 13-15 18-20 10-12 15-17 12-14 11-13 7-9 4-6

Elaborer un référentiel de contrôle interne 2 j 1 200 € 1 350 € 21-22 19-20 21-22 21-22 17-18 8-9 16-17 10-11 18-19

Piloter un dispositif de maîtrise des activités et de contrôle interne 2 j 1 200 € 1 350 € 23-24 21-22 25-26 23-24 20-21 19-20 20-21 10-11

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 29-30 27-28 24-25 14-15

Maîtrise des activités, contrôle interne et communication 2 j 1 200 € 1 350 € 25-26 27-28 23-24 12-13

SE FORMER À L’AUDIT INTERNELes fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 950 € 1 125 € 10-11 5-6 14-15 4-5 16-17 6-7 1-2 5-6 3-4 7-8 2-3

Conduire une mission d’audit interne : la méthodologie 4 j 1 950 € 2 150 € 14-17 11-14 18-21 8-11 21-24 10-13 1-4 9-12 7-10 12-15 9-12

Maîtriser les outils et les techniques de l’audit 3 j 1 625 € 1 775 € 21-23 18-20 25-27 15-17 27-29 17-19 8-10 16-18 14-16 18-20 16-18

Maîtriser les situations de communication orale de l’auditeur 2 j 1 050 € 1 150 € 24-25 21-22 28-29 18-19 30-31 20-21 11-12 19-20 17-18 21-22 19-20

Réussir les écrits de la mission d’audit 2 j 1 050 € 1 150 € 28-29 25-26 25-26 22-23 30-31 24-25 11-12 23-24 21-22 25-26 19-20

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 525 € 1 675 € 30-01/02 20-22 15-17 25-27 4-6

Désacraliser les systèmes d’information 3 j 1 525 € 1 675 € 27-29 3-5 25-27 16-18

Détecter et prévenir les fraudes 2 j 1 050 € 1 150 € 27-28 24-25 26-27 23-24 23-24 2-3

Le management

Piloter un service d’audit interne 2 j 1 300 € 1 450 € 16-17 23-24 15-16

Manager une équipe d’auditeurs au cours d’une mission 1 j 685 € 770 € 25 4 29

L’audit interne dans les petites structures 1 j 685 € 770 € 18 28 1

Balanced Scorecard du service d’audit interne 1 j 685 € 770 € 22 19 15

Le suivi des recommandations 1 j 685 € 770 € 18 11 14 30 18

Préparer l’évaluation externe du service d’audit interne 2 j 1 300 € 1 450 € 20-21 13-14 25-26

L’audit interne, acteur de la gouvernance 1 j 685 € 770 € 12 14

Audit interne, contrôle interne et qualité : les synergies 1 j 685 € 770 € 19 17 7

Les audits spécifiques

Audit du Plan de Continuité d’Activités - PCA 2 j 1 300 € 1 450 € 26-27 25-26 19-20

Audit de la fonction Comptable 2 j 1 300 € 1 450 € 15-16 17-18

Audit de performance de la gestion des Ressources Humaines 3 j 1 525 € 1 675 € 23-25 27-29

Audit de la fonction Achats 2 j 1 300 € 1 450 € 12-13 13-14 23-24

Audit des Contrats 1 j 685 € 770 € 1 3 14

Audit de la fonction Contrôle de Gestion 2 j 1 300 € 1 450 € 28-29 25-26

Audit de la Sécurité des Systèmes d’Information 2 j 1 300 € 1 450 € 20-21 26-27

Audit des Processus Informatisés 2 j 1 300 € 1 450 € 17-18 11-12

Audit de la Conformité à la Législation Sociale 2 j 1 300 € 1 450 € 25-26 21-22

Audit du Développement Durable 2 j 1 300 € 1 450 € 29-30 3-4

Audit des Projets et Investissements 2 j 1 300 € 1 450 € 9-10 27-28

SE FORMER DANS LE SECTEUR PUBLICLe contrôle interne dans le secteur public 2 j 1 300 € 1 450 € 14-15 15-16 9-10 14-15

Pratiquer l’audit interne dans le secteur public 4 j 1 950 € 2 150 € 26-29 17-20 8-11 10-13

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIERLe contrôle permanent et la conformité dans le secteurbancaire et financier 3 j 1 525 € 1 675 € 5-7 18-20 11-13

Pratiquer l’audit interne dans une banque ou un établissementfinancier 4 j 1 950 € 2 150 € 10-13 23-26 16-19

SE FORMER DANS LE SECTEUR DES ASSURANCESLe contrôle interne dans le secteur des assurances 2 j 1 300 € 1 450 € 7-8 21-22 5-6 21-22

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 950 € 2 150 € 19-22 24-27 15-18 3-6

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCEAudit de la gestion des stocks et de la logistique 2 j 1 300 € 1 450 € 30-31 1-2

Audit du processus de ventes 2 j 1 300 € 1 450 € 3-4 24-25

ACQUÉRIR UNE CERTIFICATION Voir notre site internet : www.ifaci.com

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

Nouveau

Nouveau

Nouveau

Nouveau

1

FICHE TECHNIQUE

sept./oct. 2013 - FICHE TECHNIQUE N°46 - Audit & Contrôle internes

Le guide pratique de l’IIA traitant de la « Gestiondes identités et des accès », traduit en 2010 parl’IFACI, reste d’une actualité prégnante. En

effet, rares encore sont les organisations qui ont plei-nement réussi à mettre en place des processus degestion des identités et des accès à la fois efficients,robustes et durablement fiables.

Schématiquement, il s’agit de gérer les identités et lesaccès pour maîtriser « Qui a accès à quelles informa-tions ? » avec comme questions subsidiaires « Pourquel usage ? », « Qui a le droit de gérer quoi ? », « Quia délégué quoi à qui ? », etc. Une gestion des identitéset des accès robuste permet donc de poser les fonda-tions d’un contrôle interne efficace en visant l’adéqua-

« Gérer efficacementles identités et les accès »

La gestion des identités et des accès est une activitétransversale qui consiste à déterminer qui a accès àquelle information sur une période donnée. Ellepermet d’initier, de capturer, d’enregistrer et de gérerles identités des utilisateurs et les droits correspon-dants d’accès aux informations exclusives de l’orga-nisation. Des processus de gestion des identités etdes accès médiocres ou mal contrôlés peuvententraîner des violations de la réglementation parl’organisation et empêcher d’identifier les cas dedétournement des données de l’entreprise.Les responsables de l’audit interne doivent participerau développement de la stratégie de gestion desidentités et des accès de l’organisation et évaluer lamise en œuvre de cette stratégie, ainsi que l’efficacitédes contrôles d’accès qui s’appliquent dans l’ensem-ble de l’organisation.

Olivier Sznitkies

Audit Director, Lafarge Group Audit

2

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°46 - sept./oct. 2013

tion des droits d’accès avec les fonctions, une sépara-tion des tâches adaptée et « l’auditabilité » du dispo-sitif.

Une mise en œuvre, bien plus délicatequ’il n’y paraît

Multiplication des composants informatiques (appli-cation, bases de données, système d’exploitation,serveurs, poste de travail, réseau, etc.), intégration etinterconnexion des systèmes, extension au-delà des« frontières » de l’organisation, architectures distri-buées, etc. sont autant de facteurs de complexité àbien appréhender dans le cadre de la mise en œuvred’une gestion robuste des identités et des accès.L’objectif du guide pratique est d’aider à mieuxcomprendre les enjeux de la gestion des identités etdes accès pour l’organisation, et de suggérer aux audi-teurs internes des points qui méritent un examen plusapprofondi. Il peut aider les auditeurs internes,notamment les responsables de l’audit interne, àcomprendre, analyser et surveiller les processus degestion des identités et des accès de leur organisation.

Que visent les organisations lorsqu’elles mettent enœuvre des processus et des systèmes de gestion desidentités et des accès ?• à réduire les risques liés à la sécurité de l’informa-tion ;

• à renforcer l’efficacité et la transparence des opéra-tions de gestion des identités et des accès ;

• à se conformer aux exigences réglementaires rela-tives à la fiabilisation des dispositifs de contrôleinterne (Cadre de référence de l’AMF, Sarbanes-Oxley, Bâle 2, protection des données personnelles,etc.) ;

• À améliorer le service aux utilisateurs.

Définition et concepts clés

Afin de permettre aux lecteurs d’appréhender l’inté-gralité du processus de gestion des identités et desaccès, le guide pratique propose un rappel desconcepts clés à appréhender pour conduire un auditefficace de la gestion des identités et des accès(tableau 1) ainsi qu’une modélisation des grandescomposantes de ce processus (cf. figure 1).

Le guide décline ainsi la notion de provisionnement(processus qui part de la demande jusqu’à la créationdu compte utilisateur), la notion d’administration(processus de surveillance et de suivi durant l’ensem-ble du cycle de vie du compte) et la notion de miseen œuvre des mécanismes d’identification et d’au-thentification lors de la connexion aux systèmes.

Gestion des identités / gestion des habilitations :2 cycles à distinguer

L’objectif d’un processus de gestion des identités etdes accès est de créer, de modifier, de suivre et de rési-lier les identifiants associés à chaque compte qu’il soitattaché à une personne ou une machine. Les identitésà gérer revêtent des formes multiples et doivent toutesêtre correctement prises en compte. En effet, visantnaturellement au premier chef le personnel internedes organisations, la gestion des accès doit égalementtraiter des « humains » constituant l’écosystème del’organisation (prestataires, clients, prospects, usagers,fournisseurs, etc.) mais également, dans la perspectivede systèmes de plus en plus étendus et intégrés, del’identification et la gestion des accès des « machines »entre elles.

Identité Il s’agit de l’ensemble des éléments permettant d’identifier et d’authentifier de façonunivoque une personne (employés, prestataires, clients, etc.) ou une machine (parexemple pour permettre la connexion d’un système à un autre pour un transfert defichier ou une interface).Il peut s’agir d’un couple identifiants (adresse email, numéro de compte) / mot de passe,d’un élément à avoir (badge d’identification, jeton de sécurité), ou d’une caractéristiquephysique (empreinte digitale ou rétinienne).

Accès Il s’agit de l’information correspondant aux droits accordés à une identité. Ces droitsd’accès peuvent être affectés à des utilisateurs pour leur permettre de réaliser différentstypes d’opérations, par exemple : la copie, la modification, la suppression, l’approbation,la visualisation ou la lecture.

Habilitations Il s’agit de l’ensemble des droits d’accès nécessaires pour réaliser les opérations.

Tableau 1 : Rappel des concepts clés

3sept./oct. 2013 - FICHE TECHNIQUE N°46 - Audit & Contrôle internes

La gestion des habilitations vise, quant à elle, à créer,modifier, suivre et résilier les habilitations ou permis-sions d’accès attribués aux comptes utilisateurs.Quelle que soit l’approche retenue pour regrouper lescomptes utilisateurs sous des fonctions similaires(groupe de travail, rôles ou profils), l’organisation doitprocéder régulièrement à un inventaire des droitsd’accès pour vérifier que les droits attribués aux utili-sateurs correspondent à leurs responsabilités effec-tives et ont bien pris en compte leurs éventuelschangements de poste.

Demande d’accès, approbation et créationdu compte (provisionnement)

La gestion des arrivées (création initiale de l’identité)et la gestion des départs (suppression ou désactivationde l’identité) constituent des étapes fondamentales ducycle de vie de gestion des identités. Mobilisant diffé-rents acteurs (manager hiérarchique, DRH, DSI), ellesnécessitent une grande rigueur et une répartitionclaire des responsabilités. Elles feront à ce titre, l’objetd’une attention particulière dans le cadre de la miseen œuvre ou de l’audit de la gestion des identités etdes accès.Le processus de demande de création, suppression oumodification d’une identité doit décrire précisément,pour chaque type de compte, la façon dont sontformulées les demandes, à qui elles doivent êtrecommuniquées, quels sont les délais de traitement etquelles sont les différentes étapes d’approbation.

Lors de la création d’un nouveau compte utilisateur,des droits d’accès vont être associés à ce compte. Depar leur connaissance de l’imbrication des systèmes,les directions informatiques jouent un rôle essentieldans ce processus de provisionnement. Néanmoins,elles ne peuvent pas se substituer au propriétaire dusystème ou de l’application qui doit prendre laresponsabilité d’approuver l’attribution des droitsd’accès associés.

En outre, des procédures d’approbation et de provi-sionnements spécifiques doivent être en place pourtraiter : • les comptes fonctionnels ou comptes de service(c'est-à-dire les identités non attachées à des indi-vidus uniques) ;

• les comptes « privilégiés » qui détiennent des droitsd’accès étendus souvent liés à des fonctions d’ad-ministration des applications et des systèmes. Cescomptes, permettant un vaste champ d’action,induisent, par nature, un niveau de risque élevé s’ilsne sont pas utilisés par des personnes fiables etdûment autorisées.

Au cours du processus de provisionnement, lesresponsables en charge d’approuver les demandesd’accès doivent déterminer si la demande risque deprovoquer un conflit de séparation des tâches. Cetteanalyse manuelle ou automatisée est rendue plus effi-cace si elle s’appuie sur un référentiel de conflits pré-identifiés (par exemple : enregistrement des factures

Gestion des identités et des accès

Identité Accès

Provision Administration Mise en œuvre

• Demande• Validation• Approbation• Propagation• Communication

• Authenti!cation• Autorisation• Consignation des actions

• Surveillance• Gestion des mots de passe• Audit et rapprochement• Administration des politiques• Elaboration d’une stratégie• Gestion des systèmes

Systèmes d’information et données

Eléments

ProcessusActions

Figure 1 : Relations entre éléments de la gestion des identités et des accès et concepts clés

sept./oct. 2013 - FICHE TECHNIQUE N°46 - Audit & Contrôle internes 4

fournisseur et validation des « bons à payer »). Ellepermet ainsi de servir de contrôle préventif avant l’oc-troi de nouveaux droits d’accès.

Traçabilité et journalisation

Un annuaire d’habilitation est un système permettantle suivi des droits d’accès attribués aux utilisateurs aufil du temps ainsi que l’enregistrement des demandesde changement de droit d’accès, les approbations, lesdates de début et de fin des accès, etc. Ces donnéessont particulièrement utiles, sinon nécessaires, pourl’audit et la revue des habilitations et droits d’accès etnotamment pour vérifier que chaque changement dedroit a été dûment approuvé.Le journal de ces événements doit être conservédurant une période de temps adaptée pour permettrela conduite de ces revues, répondre aux éventuellesexigences réglementaires tout en prenant en compteles contraintes de stockage des données.

Revue des droits d’accès par le management

Dans le cadre du processus de surveillance de lagestion des identités et des droits d’accès, ilconvient de mettre en place une métho-dologie de vérification périodiquedes droits d’accès accordés àtoutes les identités présentesdans l’environnement infor-matique. Cette vérification,bien que facilitée par la DSI,devrait essentiellement êtreconduite par les directionsmétiers avec l’approbation dechaque « propriétaire » d’appli-cation.Un processus de gestion des identitéset des habilitations mature doit faciliter larevue des droits d’accès par les managers et lespropriétaires d’application. Les managers peuventainsi vérifier les accès accordés à leurs collaborateursdirects tandis que les propriétaires d’applicationspourront vérifier efficacement les accès attribués àtoutes les personnes utilisant leur application afind’identifier et révoquer les droits d’accès injustifiés.Cette vérification devrait être conduite avec unefréquence adaptée au niveau de risque associé àchacune des applications. L’organisation doit disposer d’un moyen de signale-ment, de suivi et de correction des éventuelles anoma-lies mise en évidence par ces rapprochements.

Plus critique, les comptes privilégiés devront fairel’objet d’une procédure de revue appropriée. Ilconviendra notamment de vérifier périodiquement laliste des utilisateurs bénéficiant d’accès privilégiés etrevoir, dans la mesure du possible, les activités réali-sées à partir de ces comptes.

Administration des mots de passe des utilisateurs

Facteur essentiel de l’efficacité du processus degestion des identités et des accès, la gestion des motsde passe comprend les tâches suivantes :• émission des mots de passe initiaux,• communication des mots de passe aux utilisateurs,• réinitialisation des mots de passe pour les utilisa-teurs bloqués,

• vérification du respect des politiques de sécurité,• vérification des mots de passe triviaux facilitant desutilisations non autorisées des systèmes.

L’authentification peut prendre d’autres formes :empreinte digitale, reconnaissance vocale, badge oucarte à puce, code reçu par SMS, etc.

Comment auditer la gestion desidentités et des accès ?

Points de vigilance

En complément de la descrip-tion des principes de gestiondes identités et des accès (cf.figure 1), le guide pratiquepropose à l’auditeur une listedes principaux points de vigi-

lance à bien appréhender lors dechacune des étapes d’un audit des

droits d’accès et des habilitations (Cf.tableau 2).

Revue des droits d’accès par les auditeurs

Pour l’auditeur, la revue des droits d’accès et des habi-litations visera, en particulier, à rapprocher périodi-quement (éventuellement sur la base d’échan-tillonnage) les accès et habilitations actifs dans lessystèmes avec les listes de demande de création decompte ou les listes de mouvement d’employés(changement de poste ou départ).

Ce rapprochement peut faire apparaître les situationssuivantes :

« La gestion des arrivéeset la gestion des départsconstituent des étapes

fondamentales du cyclede vie de gestiondes identités »

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°46 - sept./oct. 20135

• Les identités possèdent les droits d’accès corres-pondant à ceux approuvés.

• Les identités et les droits d’accès associés n’ont pasété revus avec le niveau de fréquence attendue.

• Les identités possèdent des droits d’accès qui necorrespondent pas aux droits approuvés.

• Il existe encore, dans l’environnement informatique,des identités associées à des utilisateurs qui ontquitté l’organisation.

• Certains utilisateurs disposent de droits d’accèssans demande d’accès préalable ou sans autorisa-tion de cette demande.

Ébauche de programme de travail

En outre, le guide pratique propose une liste dequelques questions permettant à l’auditeur de définirun programme de travail pour couvrir chacun desdomaines Administration, Provisionnement etMise en œuvre de la gestion des identités des droitsd’accès.

Le tableau 3 en propose une synthèse.

* **

Le guide pratique propose à l’auditeur une base solidelui permettant d’orienter et planifier sa revue de lagestion des identités et des accès. Cette planificationdoit naturellement se fonder sur une bonne compré-hension de l’environnement de l’organisation et deces processus métiers mais surtout sur une robusteanalyse des risques.

Pour ce faire, rappelons quelques exemples de risqueà prendre en compte dans la planification d’unemission d’audit de la gestion des identités et desaccès : • perte de confidentialité (par exemples divulgationde fichiers de prix client, fuite de fichiers de numérode carte de crédit) ;

• perte d’intégrité (par exemples modification induedu solde d’un compte, modification non-autoriséed’un RIB fournisseur) ;

• perte de traçabilité (par exemple : suppression desjournaux de consignation du nom des personnesayant autorisé les mises en paiement) ;

• non-efficience (par exemple : multiples opérationsmanuelles pour réactiver le compte d’un utilisateuren cas d’oubli de mot de passe).

Etapes Description de l’étape et points de vigilance

Lister et documenter leshabilitations

Être attentif aux différents types de « comptes d’accès » (comptes utilisateurs,comptes de services, comptes machine, comptes batch).

Comprendre les processusde gestion des habilitations

Appréhender les étapes de création, d’affectation, d’approbation, et desuppression des habilitations. L’auditeur doit, en particulier, s’assurer que leshabilitations ne sont configurées dans les systèmes qu’après avoir reçutoutes les approbations requises.

Identifier les référentiels etannuaire d’habilitations

Identifier les mécanismes d’authentification et d’autorisation mis en œuvreet plus spécifiquement les « annuaires » sur lesquels vont s’appuyer cesmécanismes. Dans de nombreux cas, les applications (par exemple un ERP)s’appuieront sur une couche d’authentification tierce (par exemple uneauthentification Windows lors de l’ouverture d’une session sur un poste detravail).

Identifier les contrôles surles référentiels d’habilita-tion

Vérifier s’il y a des écarts entre les référentiels d’habilitation dans les systèmeset l’organisation réelle et, le cas échéant, en comprendre l’origine.

Évaluer comment sontconduites les revues pério-diques des habilitations

S’assurer que ces contrôles sont documentés et traçables, qu’ils sontconduits avec une périodicité raisonnable, et qu’ils font l’objet d’actions desuivi (correction des écarts, analyse des causes source, etc.).

Tableau 2 : Principaux points de vigilance à bien appréhender lors de chacune des étapes d’un audit

6sept./oct. 2013 - FICHE TECHNIQUE N°46 - Audit & Contrôle internes

Rappelons, enfin, que la gestion des identités et desdroits d’accès est un sujet d’audit clé dans le sens oùcelle-ci constitue un socle sur lequel vont s’appuyerbon nombre de « contrôle métiers ». Ainsi, au coursde la revue d’un processus métier (paye, achat, etc.),dès lors qu’il souhaitera, s’assurer que les contrôlesbasés sur des autorisations (autorisation de dépenses,autorisation de réviser une limite de crédit, etc.,) sonten place, l’auditeur devra se poser la question de lafiabilité de mise en œuvre de ces contrôles dans lessystèmes conformément aux décisions d’organisationet aux habilitations.

Cette dernière question nous renvoie ainsi à la lectureet à la mise en œuvre du GTAG 8 – Guide Pratiqued’Audit des Contrôles Applicatifs.

Olivier Sznitkies est titulaire d'un diplôme d'in-génieur IT de l'E.I.S.T.I. et d'un D.E.S.S. de gestiondes entreprises de l'I.A.E. de Paris, et auditeurcertifié en système d'information (CISA, CISM,CGEIT). Après une expérience comme consultanten business intelligence, il a poursuivi sa carrièredans l'audit et le conseil au sein d'Arthur Ander-sen et KPMG où il a participé au développementdes offres de service gestion des risques, audit etcontrôle internes, amélioration de la perfor-mance IT.Olivier Sznitkies est actuellement directeur demissions au sein de l'audit interne groupeLafarge. Il supervise des missions d'audit opéra-tionnel et informatique des filiales du groupedans une cinquantaine de pays.

Administration • Une stratégie de gestion des identités et des accès a-t-elle été mise en place ?• Les risques liés au processus de gestion des identités et des accès sont-ils bien

compris par la Direction et les autres personnes concernées ? • Les réglementations applicables à l’organisation sont-elles bien comprises ?• Existe-t-il des méthodes précises pour rendre compte des problèmes liés à la sépara-

tion des fonctions ?• Comment sont élaborées les règles des mots de passe et sont-elles suffisantes ?

Provisionnement • L’organisation dispose-t-elle de processus cohérents pour la gestion des accès ausystème ?

• Les auditeurs peuvent-ils identifier individuellement les personnes qui ont accès auxsystèmes de l’organisation, en fonction des identifiants de connexion qui leur sontattribués ?

• La productivité du personnel pâtit-elle de difficultés à obtenir et maintenir les accèsaux systèmes ?

• Qui doit approuver l’accès d’un utilisateur à l’environnement ?• L’organisation peut-elle prouver que seules les personnes habilitées ont accès aux

informations ?• Existe-t-il des contrôles permettant d’empêcher d’ajouter des accès aux systèmes et

aux applications sans respecter la procédure approuvée ?• Lorsqu’une personne quitte l’organisation, ses accès aux systèmes sont-ils exhaustive-

ment recensés et désactivés rapidement ?• Comment l’organisation traite-t-elle les comptes n’ayant pas trait à des personnes

(par exemple compte de services) ?• Comment l’organisation traite-t-elle les comptes privilégiés ?

Mise en œuvre • Quelle est l’efficacité des contrôles mis en place pour éviter que certaines personnesne contournent les contrôles d’authentification ou d’autorisation ?

• La mise en œuvre des contrôles d’accès par les applications suit-elle toujours la mêmeapproche ?

• Comment les informations sont-elle journalisées, collectées et analysées ?

Tableau 3 : Synthèse de la liste de questions permettant de définir un programme de travail

LES RÉPONSES DE L'AUDIT INTERNE AUX ATTENTES DES ...

Documents

Transcript of LES RÉPONSES DE L'AUDIT INTERNE AUX ATTENTES DES ...