Ra Ci 204web

l a r e v u e d e s p r o f e s s i o n n e l s d e l ’ a u d i t , d u c o n t r ô l e e t d e s r i s q u e s

Dans l’actualité

Catastrophes parallèles

Les audits métiers

La gestion des immobilisations

International

Les challenges de l’audit interne

aujourd’hui et demain

La profession en

mouvement ...

Fiche technique

> Norme 2020

> L’efficacité des missions se

prépare dès l’élaboration du

plan d’audit

N°204Avril 2011

Le diplôme professionnelqui atteste de vos aptitudes à conduire une missiond’audit interne en autonomie selon les normes etles bonnes pratiques de la profession.

INFORMATIONS PRATIQUES

A qui s’adresse-t-il ?

A tous les auditeurs internessouhaitant valoriser leurexpérience en audit interne.

Durée

L’examen du DPAI se déroule surune journée.

Tarif

50 € HT (droits d’inscription)

Conditions d’inscription

Etre titulaire d’un diplôme de2nd degré (niveau licence).

Etre adhérent de l’IFACI ou d’unautre Institut Francophone.

Avoir pratiqué l’audit internependant au moins 6 mois.

Conditions d’obtention

Obtenir une moyenne au moinségale à 12/20 sur l’ensemble desthèmes du programme sans avoirde note inférieure à 10/20.

Pour toute information complémentaire sur le DPAI, contactezPerrine Bénard au 01 40 08 48 11 ([email protected])

PROGRAMME

Les épreuvesL’examen consiste en une alternance de mini cas et dequestionnaires.

Matin La planification d’une mission d’audit interne (1h30). La réalisation d’une mission d’audit interne (1h30).

Après-midi Le contrôle interne et la fraude (30 min.). Les normes (30 min.). La comptabilité (30 min.). Les systèmes d’information (30 min.). La communication orale (30 min.). La communication écrite (30 min.).

POUR EN SAVOIR PLUS ...

Site Internet

Rendez-vous sur le site Internet de l’IFACI (www.ifaci.com) à larubrique « Carrière + Diplômes » pour : consulter le programme détaillé de l’examen ; télécharger le modèle d’examen et les annales ; développer vos compétences en suivant les formations sur les« Fondamentaux de l’audit interne ».

se mettre dans le conditions de l’examen en suivant la formationde préparation au DPAI.

Diplôme Professionnelde l’Audit Interne

3avril 2011 - Audit & Contrôle internes n°204

La revue des professionnels de l’audit,du contrôle et des risques

n°204 - avril 2011

EDITEURInstitut Français de l’Audit et du Contrôle Internes (IFACI)Association Loi 190198 bis, boulevard Haussmann75008 Paris (France)Tél. : 01 40 08 48 00 Mel : [email protected] : www.ifaci.com

DIRECTEUR DE PUBLICATIONClaude Viet

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

RÉDACTION - RÉVISIONJean-Loup Rouff - Béatrice Ki-Zerbo

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 01 40 08 48 02Mel : [email protected]

RÉALISATION / PUBLICITÉEBZONE Communication32, avenue de Beauregard94500 Champigny-sur-MarneTél. : 01 48 80 00 56Mel : [email protected]

IMPRESSIONImprimerie Compédit Beauregard S.A.61600 La Ferté-Macé

ABONNEMENTElsa Sarda - Tél. : 01 40 08 48 04Mel : [email protected]

Revue bimestrielle (5 numéros par an)ISSN : 1954-4995CPPAP : 0513 G 83150Dépôt légal : avril 2011Crédit photos : © Publitek, Inc. dba Fotosearch

Prix de vente au numéro : 22 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle, faitesans le consentement de l’auteur, ou de ses ayants droits, ou ayantscause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que cesoit, constituerait une contrefaçon sanctionnée par les articles 425et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

Depuis toujours les auditeurs internes sesont impliqués dans l’évaluation desrisques de fraudes, leur prévention, leur

détection et leur traitement. Les normes de l’IIA lesy invitent, et c’est devenu, depuis plusieurs années,une réflexion permanente de l’IFACI qui a publiéen 2009 un Cahier de la Recherche sur la fraudedans le secteur bancaire et en 2010 un documentplus général intitulé « Comment devenir proactifdans la gestion de la fraude ».

Assimilée parfois à la fraude, la corruption présente des caractères bien spécifiques.C’est un comportement pénalement répréhensible par lequel une personne (lecorrompu) sollicite, agrée ou accepte des avantages quelconques en vue d’accom-plir, de retarder ou d’omettre d’accomplir un acte entrant, d’une façon directe ouindirecte, dans le cadre de ses fonctions. Le code pénal distingue la corruptionactive (qui est le fait du corrupteur) et la corruption passive (qui est le fait ducorrompu).

La première loi importante anti-corruption, le « Foreign Corrupt Pratices Act », estaméricaine et date de 1977, suite à de nombreux scandales dont le plus célèbre estl’affaire Lockheed, affaire de corruption des élites nipponnes, mêlant organisationcriminelle et milieu des affaires japonais, à la CIA. Cette loi a été amendée en 1998par l’« International Anti Bribery Act » destiné à mettre en œuvre la convention« Anti Bribery de l’OCDE ».

En France, la loi du 13 novembre 2007 marque une avancée dans le renforcementde la lutte contre la corruption : accroissement des sanctions contre les agentspublics qui se laissent corrompre, y compris les agents des Etats étrangers ; traficd’influence plus durement réprimé ; meilleure protection des salariés contre toutesanction injustifiée du fait de leur témoignage quand ils dénoncent des faits decorruption dont ils auraient eu connaissance dans l’exercice de leurs fonctions.

Depuis quelques semaines, l’on parle beaucoup du « Bribery Act » du RoyaumeUni qui entrera en vigueur le 1er juillet 2011 et qui est considéré comme la loi laplus sévère au monde en matière de lutte contre la corruption. La mesure phareest la création d’un délit pour défaut de prévention de la corruption. S’exposenotamment à une amende illimitée toute personne morale dans le monde« conduisant, même en partie, des affaires au RU » dont l’une des « personnesassociées » est responsable d’actes ou de tentations de corruption sauf à démontrerqu’il a été mis en place et fait fonctionner les procédures adéquates conçues pourprévenir de tels actes de la part de ces « personnes associées ».

Vous lirez dans le « Dossier » du présent numéro, les efforts développés par Trans-parence International France pour sensibiliser l’opinion aux conséquences de lacorruption, ainsi que la politique et le programme de prévention de la corruptionmis en œuvre par le groupe Total. Vous y trouverez également les résultats d’uneenquête internationale de l’OCDE sur la fraude et la corruption dans les adminis-trations centrales des Etats, qui souligne les efforts insuffisants des auditeursinternes dans la prévention et la détection de la corruption. L’audit interne del’OCDE recommande un renforcement des normes de l’IIA dans ce domaine,recommandation à laquelle nous nous associons pleinement.

Louis Vaurs - Rédacteur en chef

De la fraude ...à la corruption

«

»

La Certification par l’IFACI :la bonne pratique d’évaluation externe de l’Audit Interne

La Certification IFACI, régulièrement mentionnée dans les rapports du Président sur le Contrôle Interne,atteste que les activités d’Audit Interne sont conduites conformément aux Normes ProfessionnellesInternationales et contribuent à créer de la valeur ajoutée.

La Certification IFACI permet à l’Audit Interne :• de légitimer l’évaluation interne, indépendante et objective, qu’il délivre sur l’efficacité des systèmes

de gestion des risques et de contrôle interne ;• de souligner sa capacité à délivrer des prestations de qualité et donc à apporter de la valeur à son

organisation ;• de renforcer la confiance que les parties prenantes placent en lui.

« L’Audit Interne est une profession très organisée, qui a mis en place des dispositifs de certi-fication et de formation. Il convient de tirer vers le haut d’abord les administrateurs, maisaussi d’encourager les partenaires du Comité d’audit à enrichir et à améliorer constammentleurs pratiques. Tout ce qui permet de renforcer le professionnalisme des uns et desautres va certainement dans la bonne direction. »

Daniel Lebègue, Président de l’Institut Français des Administrateurs

« Je pense que l’Audit Interne doit présenter constamment un niveau élevé de professionna-lisme : cela passe normalement par le respect de ses propres règles et standards de pratique,puis par une certification qui rend compte de manière objective de ce respect. »

Guylaine Saucier, Présidente du Comité d’Audit, Danone (DAI certifiée en 2009),Areva (DAI certifiée en 2006)

« L’évaluation externe objective et méthodique de l’Audit Interne, par des personnes qui dispo-sent d’une vue d’ensemble professionnelle, est une démarche extrêmement précieuse. Dans cemonde tellement changeant, bénéficier des avis et conseils du certificateur est un facteurd’augmentation de la capacité et de la qualité de travail de l’Audit Interne. »

Alexandre Lamfalussy, Président du Comité d’Audit, CNP Assurances (DAI certifiée en 2008)

« J’ai demandé que les auditeurs certificateurs nous présentent leurs conclusions sur notreAudit Interne pour deux raisons. Tout d’abord, nous avons souhaité entendre ce qu’ils avaientidentifié sans biais et sans filtre. Nous avons aussi voulu apprendre ce qu’ils pensaient dela qualité et de la profondeur des audits : ce sont des choses que je ne peux voir quetrès indirectement. »

Hervé Saint-Sauveur, Président de LCH Clearnet SA (DAI certifiée en 2008)

« Le Comité des Comptes a toujours examiné avec attention l’activité de l’Audit Interne. Maiscomment s’assurer que les méthodes utilisées et l’organisation retenue sont parfaitement adap-tées ? La Certification par l’IFACI a été choisie, d’un commun accord pour répondre à cettequestion. Cette procédure a engendré pas mal de travail, mais nous a également beaucoupapporté. Enfin, si tant est que j’en avais besoin, la Certification m’a tranquillisé. »

Bruno Flichy, Président du Comité des Comptes, EIFFAGE (DAI certifiée en 2007)

IFACI Certification - 98 bis, boulevard Haussmann - 75008 ParisContact : Jean-Baptiste Gamas - Tél. : 01 40 08 48 10 - Mel : [email protected]

IFACI Certification est une filiale de


SOMMAIRE

DANS L’ACTUALITé

DOSSIER

Ethique, fraude et corruptionLe rôle des auditeurs internes

Catastrophes parallèlesAntoine de Boissieu

6

INTERNATIONAL

Les challenges de l’audit interneaujourd’hui et demainRichard Chambers

39

LA PROFESSION EN MOUVEMENT

LES AUDITS MéTIERS

La gestion des immobilisationsFlorence Leloup et Séverine de Pesquidoux

8

Evénements48

FICHE TECHNIQUE N°34

Norme 2020 - Communication et approbation

>> L’efficacité des missions se prépare dès l’élaborationdu plan d’auditMichel Uhart

Enquête OCDE :Contrôle et audit internes,assurer l’intégrité et laresponsabilité du secteur publicLouis Vaurs

19

Transparence et intégrité : lesentreprises doivent tenir comptedes attentes nouvelles de lasociétéDaniel Lebègue et Julien Coll

14

Le conflit d’intérêts : le symbole de la dérive de l’éthiqueYoanna Pons et Noël Pons

24

L’éthique, rempart suffisant pour prévenir et réduire lesabus de la fraude dans les organisations ?Yves Bilodeau

30

Politique et programme de prévention de la corruptionde TotalJean-Pierre Audoin

36

p. 13 à 38

6

DANS L’ACTUALITÉ

Audit & Contrôle internes n°204 - avril 2011

Catastrophes parallèlesAntoine de Boissieu - Associé-gérant, OSC Solutions

Deux catas-trophes indus-trielles majeures

viennent de se produire àprès d’un an d’intervalle :la marée noire dans legolfe du Mexique et l’ac-cident de la centralenucléaire de Fukushima.Les retombées en termesde santé, d’environne-ment et de coût en fontsans doute les accidentsindustriels les plus gravesde la décennie écoulée.

On ne peut s’empêcherde trouver de nom-breuses similitudes dansla façon dont les risquesont été gérés et les dispo-sitifs de contrôle conçus.

L’enchaînementd’événementsqui a causé lacatastrophen’avait pas étéenvisagé

Dans le cas de BP, lerisque d’explosion de la

plate-forme en raisond’une remontée incontrô-lée d’hydrocarbures étaitbien identifié. Il s’agitd’un risque classiquedans cette activité et, pourcette raison, de nombreuxdispositifs de maîtrise durisque avaient été mis enplace, la plupart étantd’ailleurs obligatoires. BPn’avait cependant pasenvisagé le risque quetous ces dispositifs decontrôles soient pris endéfaut en même temps.

La situation est analoguepour la centrale deFukushima. Le risqued’un séisme suivi d’unraz-de-marée était envi-sagé dès le départ et desdispositifs de maîtrise durisque avaient été mis enplace. Cependant, TEPCOn’avait pas non plus envi-sagé de scénario danslequel tous ces dispositifsde maîtrise seraient prisen défaut en mêmetemps.

Les dispositifsde lutte contrela catastropheétaientdéficients

Dans les deux cas, lesscénarios catastrophesavaient été écartés. Ni BPni TEPCO n’étaient doncsérieusement préparés àfaire face à une catas-trophe. Les moyens delutte contre la maréenoire étaient très insuffi-sants, et BP a dû improvi-ser une stratégie pourreboucher le puits. Il afallu près de trois moispour arrêter la maréenoire ; les actifs (la plate-forme, le puits et le gise-ment desservi) semblentdésormais perdus et lesdommages sont évalués àplus de 40 milliards dedollars.

Il en est de même pourTEPCO : les moyens delutte prévus étaient trèsinsuffisants (le Wall Street

Journal révèle que le plancatastrophe ne prévoyaitqu’un brancard et untéléphone satellitaire !) etil a fallu improviser uneréaction, en testant diffé-rentes approches dansl’urgence. Un mois aprèsl’accident, la situationn’est toujours pas stabili-sée, les fuites radioactivescontinuent, les actifs sontirrémédiablement perduset les dommages d’ores etdéjà considérables.

La couverturedu risque par lesassurances étaittrès insuffisante

Comme ces scénarios-catastrophes avaient étéécartés par BP et TEPCO,ils n’étaient pas, ou qua-siment pas, couverts parles assurances. BP étaitson propre assureur, et nes’était pas réassuré pourdes accidents du type deMacondo. Les 40 mil-liards de coûts ont donc


été presque entièrement àsa charge. Les cours dupétrole historiquementélevés et des cessionsd’actifs ont permis à BPde faire face, mais lamême catastrophe surve-nue quelques années plustôt aurait sans doute étéfatale à la compagnie.

La situation assurantiellede TEPCO est plus floue.La question n’est pas desavoir si TEPCO a uneassurance couvrant lesdommages causés auxtiers par l’accident et lespertes subies : la réponseest non. Il s’agit plutôt desavoir dans quelle mesure

la responsabilité deTEPCO peut être enga-gée, et donc quelle partiedes dommages pourraitêtre à sa charge. Les loisjaponaises en matièred’accident nucléairecausé par des catas-trophes naturelles sem-bleraient limiter forte-ment la responsabilitédes opérateurs, donc deTEPCO en l’occurrence.Dans ce cas, les dom-mages seraient supportéspar l’Etat japonais.

* **

Deux enseignementspeuvent être tirés pour les

services de risk manage-ment et d’audit interne,quel que soit le secteurd’activité :

1) Il ne faut pas s’empê-cher d’envisager etd’auditer les risques decatastrophe, même siles experts les jugenthautement improba-bles. Les dispositifs decontrôle les mieuxpensés, réglementés etcontrôlés (comme c’estle cas dans le domainedu nucléaire ou del’off-shore) peuvent, eneffet, être pris endéfaut.

2) Il faut prêter uneattention particulièreaux dispositifs censéslimiter la catastropheune fois qu’elle sur-vient. Il ne suffit pas derépondre à la ques-tion : « A-t-on uneassurance raisonnablequ’il n’y aura pas decatastrophe ? » ; l’auditinterne devrait aussirépondre à la question« A-t-on une assu-rance raisonnable depouvoir limiter l’im-pact humain, environ-nemental, et financierd’une catastrophe sielle se produit ? ».

8

LES AUDITS MÉTIERS


La gestion desimmobilisations

Florence Leloup

auditeur interneGaleries Lafayette

Titulaire d'un DESS de l'universitéd'Angers en audit et gestion desrisques, Florence Leloup acommencé sa carrière dans desservices d’audit du groupe Inter-maché (branche marchandisesinternationale), puis à la holdingITM Entreprises. Elle a intégré ladirection de l'audit du groupeGaleries Lafayette il y a 3 ans.

Séverine de Pesquidoux acommencé sa carrière en tant quecontrôleur de gestion chez Moto-rola puis a rejoint le groupeSafran il y a 7 ans.

Dans le cadre des activités de recherche de l’IFACI, une réflexion aété initiée sur les bonnes pratiques relatives au contrôle internedes processus cœur de métiers des entreprises industrielles et

commerciales.Les 4 processus clés retenus englobent toute la chaîne de production d’uneorganisation, de l’investissement à la logistique aval. Des sous-processusont été recensés selon le tableau ci-contre.

Quel que soit le secteur d’activité dans lequel elles opèrent, les entre-prises ont en commun le processus de gestion des immobilisations,en raison des risques associés à ce processus. Tous les services d’au-dit devraient intégrer des missions sur cette thématique dans leurplan. Le programme de travail, réalisé par l’équipe d’audit, devra,bien évidemment, comporter des points de contrôle sur les principesfondamentaux de contrôle interne.

Séverine de Pesquidoux

contrôle internegroupe Safran


Les réunions qui se sont déroulées en 2010 ont été co-animées par ThierryBardet (SEB) et Frédéric Charles (Renault). Elles ont notamment permisd’établir un format de référentiel de contrôle interne avec :• d’une part, des objectifs génériques pour chaque processus (définition dela politique du processus, principes d’organisation du processus, schémade fonctionnement opérationnel, protection et archivage),

• d’autre part, les risques spécifiques et le contrôle des opérations de chaquesous-processus.

Il s’agissait de fournir aux responsables de contrôle interne des pistes pourle déploiement d’un dispositif de contrôle interne robuste et d’apporter desclés aux auditeurs internes pour construire leur programme de travail.Le présent article s’appuie sur ce cadre de travail. Si vous souhaitez partagervos bonnes pratiques sur la maîtrise des risques associés aux processus cœurde métier de l’industrie et de la distribution, n’hésitez pas à adresser voscontributions à la direction de la recherche de l’IFACI ([email protected]).

Les immobilisations recou-vrent l’ensemble des biensachetés par une entreprise

(ou produit pour elle-même) ayantune certaine valeur et dont le butest d’être utilisées à long terme. Lelong terme s’apprécie traditionnel-

lement par une durée supérieure àun an et le seuil d’immobilisationpeut, par exemple, être fixé à2 500 €.

L’approche par composant peutêtre utilisée pour les immobilisa-

tions industrielles. Il peut êtrenécessaire de décomposer l’actifprincipal et ses différents compo-sants lorsque ces derniers sontsignificatifs, lorsqu’ils ont desdurées d’utilité différentes et qu’ilssont destinés dès l’origine à êtreremplacés à intervalles réguliers etdifférents des autres composants.Par exemple, un four doit êtredécomposé en différents compo-sants (structure, tapis, etc.). Eneffet, le tapis est destiné à êtreremplacé à intervalles régulierstout le long de la durée de vie de lastructure même du four.

Quel que soit le secteur d’activitédans lequel elles opèrent, les entre-prises ont en commun le processusde gestion des immobilisations, enraison des risques associés à ceprocessus. Ainsi, tous les servicesaudit devraient intégrer desmissions sur cette thématique dansleur plan, même si l’importance duprocessus est différente d’uneorganisation à une autre. Par exem-ple, dans le secteur de l’industrie,la mise sous contrôle des immobi-lisations est un enjeu majeur. Lanon maîtrise de tout ou partie duprocessus qui seraient horscontrôle présenteraient des risquestrop importants. Ainsi, l’audit desimmobilisations sera généralementrécurrent et systématiquementintégré dans les audits des sites deproduction. L’audit des immobilisations dans ladistribution sera plutôt abordé autravers d’un audit spécifique. Il seraplus souvent transverse avec unpérimètre s’appliquant aux diffé-

Processus clés Sous-Processus

Investissement

Investissement / Désinvestissement

Achats industriels

Gestion des immobilisations

Maintenance Maintenance

Production

Programmation

Sourcing / Qualité

Production / Qualité

LogistiqueLogistique amont (flux d’entrée)

Logistique aval (flux de sortie et stock)

10

LES AUDITS MÉTIERS


rentes filiales / départements del’organisation et plutôt couplé avecun audit de la maintenance ; lavision globale du niveau decontrôle interne de cet ensembleprésentant alors une valeur ajou-tée. Le programme de travail réalisé parl’équipe d’audit devra bienévidemment comporter des pointsde contrôle sur les principes fonda-mentaux de contrôle interne telsque : • le respect du principe de sépara-tion des fonctions,

• la définition et l’application desdifférents niveaux de délégationde pouvoir et de signature définisau sein de l’organisation,

• l’enregistrement comptablefiable et exhaustif des biensphysiquement présents au seinde l’entité,

• la conformité aux lois et règle-ments.

Les risques et points de contrôlesexposés ci-dessous ne sont pasexhaustifs mais se basent sur despoints d’attention spécifiques quiressortent de la consolidation denos expériences. Une connaissanceplus approfondie de l’entreprisepermettra à l’auditeur de définir lagranularité à retenir afin d’obtenirl’assurance raisonnable que lesdispositifs de contrôle interne sontrobustes. Nous avons, par exemple,retenu les 4 points de vigilance quisuivent.

Les orientations del’organisation

La politique d’immobilisationest en ligne avec la stratégie del’entreprise En effet, une distorsion entre lesdeux pourrait engendrer des coûtssupplémentaires liés à une sousutilisation de l’immobilisation.L’exemple le plus représentatif estcertainement l’achat de machinesdont la technique est en fin de vie.L’auditeur interne mènera à bienses contrôles par la prise deconnaissance de la stratégie del’entreprise (à court et moyenterme) sur le sujet. Une revue desdossiers d’investissements peutégalement se révéler nécessairepour formuler une opinion surl’optimisation des opérations.

L’organisation a mis en placeune doctrine comptable et fiscale Les règles émises et approuvéespar les directions comptables etfiscales doivent permettre denormer les opérations réalisées par

les opérationnels telles que lesdurées d’amortissement, les datesd’entrée en service, l’utilisation descomptes d’en cours, etc. Cette doctrine sera bien évidem-ment un des socles du programmede travail. L’auditeur se devra detester que ces règles sont appli-quées mais également qu’elles sontapplicables et opérationnelles. Pourcela l’analyse des mises à jour de ladoctrine peut être une piste d’au-dit. Les tests d’audit réalisés surcette partie devront bien sûr êtreadaptés à la situation de chaqueentreprise. Ainsi, dans le cadred’une multinationale, la doctrinecomptable et fiscale devra traiterdes divergences éventuelles entreles référentiels comptables retenuspour les besoins des comptesconsolidés (IFRS, US GAAP, etc.) etles référentiels retenus par chaquefiliale pour les comptes sociaux.Enfin, il conviendra de porter uneattention particulière aux immobi-lisations incorporelles jugées pluscomplexes à suivre, tels que lesmarques ou les brevets.

Un système d’information dédiéexiste L’identification des biens au traversd’une application ou d’un logicieldédié tend à réduire le risque denon comptabilisation ou de doublecomptabilisation. L’exportation desdonnées ou l’interface avec le SIcomptable doivent cependant fairel’objet de tests d’audit afin de s’as-surer de leur exhaustivité et de leurfiabilité. De même, l’auditeur devraanalyser la sécurité logique de l’ap-plication (périodicité des revues de

L’immobilisation corporelle : Actifphysique que l’entité entend utiliser au-delà de l’exercice en cours :

• il s’agit d’un élément identifiable ;• il est porteur d’avantages écono-

miques futurs ;• il est contrôlé (processus d’engage-

ment budgétaire) ;• son coût est évalué avec une fiabilité

suffisante.

Il peut être soit :• utilisé par l’entreprise dans la produc-

tion ou la fourniture d’un bien ou d’unservice ;

• loué à des tiers ;• destiné à des fins de gestion interne.


comptes, habilitations en adéqua-tion avec les responsabilités opéra-tionnelles, traçabilité des opé-rations, etc.).

La réception del’immobilisation

Les contrôles à la réception doiventêtre adaptés à l’immobilisationconcernée.

Qu’il s’agisse d’une immobilisationou non, tout bien acheté par l’en-treprise doit faire l’objet decontrôles à la réception. Cepen-dant, dans le cas des immobilisa-tions, l’existence de contrôlesqualité au moment de sa réceptionest une bonne pratique à préconi-ser. Ces contrôles doivent être défi-nis au regard du cahier des chargescar la non qualité ne s’apprécie pasnécessairement par une défaillance(par exemple, une machine qui nefonctionne pas) ; des défauts deconception peuvent engendrer dessurcoûts pour l’entreprise dans lefutur (rendement de productionnon atteint par exemple). L’absencede contrôle qualité et donc deréserve en réception peut alorspriver l’entreprise de recoursenvers le fournisseur.

Les tests d’audit peuvent consisterà vérifier la présence systématiquede l’approbation qualité avant toutenregistrement comptable ouencore à rapprocher et analyser lesopérations de maintenance desdernières immobilisations reçuesavec les contrôles qualité définis enréception.

La vie del’immobilisation

L’optimisation de la durée de vie del’immobilisation au sein de l’entitépasse notamment par une correctemaintenance en condition opéra-tionnelle. L’auditeur devra doncvérifier les indicateurs et signauxd’alerte existants ; les actions enga-gées ainsi que les délais de traite-ments, la qualité des interventionsdes prestataires. Un contrôle decohérence avec les données de l’in-ventaire des immobilisations peuts’avérer une bonne piste d’audit(âge de l’immobilisation, valeurnette comptable, coût de la main-tenance, coût des éventuellesévolutions possibles, coût d’achatd’un bien à neuf, etc.).Il conviendra également de vérifierles polices d’assurances en cours àla date de l’audit (exhaustivité desimmobilisations, prise en comptedes acquisitions, mises au rebut,cessions d’immobilisation).

Enfin, en fonction des enjeux desimmobilisations présentes dans lepérimètre de l’audit, l’examen duplan de continuité des activités, misen place par l’entité (cas de panne,destruction ou inaccessibilité del’immobilisation), pourra être inté-gré au programme de travail del’auditeur.

Les sorties del’immobilisation

La fin de vie de l’immobilisation ausein de l’entreprise ne signifie pasnécessairement la mise au rebut de

l’immobilisation. Il faut porter despoints d’attention particuliers auxcessions d’immobilisation.

En effet, une telle opération peutengager la responsabilité juridiquede l’entreprise. Il convient alors defaire valider par la direction juri-dique de l’entité les termes de cettecession ainsi que les éventuellesactions particulières à mener(contrôles qualité, contrôle desnormes de sécurité, par exemple). Bien évidemment, la validation dela cession en interne par lespersonnes habilitées, le prix decession pratiqué ou encore le calculde plus ou moins values, devrontégalement faire l’objet de contrôlespar l’auditeur. Une fois encore, ladoctrine comptable sera unesource d’information précieuse.

* **

Ainsi, comme évoqué en introduc-tion, ces quelques thématiquesabordées ne sont que des pointsd’attention que chaque auditeurpourra préciser et développer selonle contexte. Les immobilisations font intervenirun grand nombre d’acteurs dansl’entreprise : personnel de produc-tion, acheteurs, trésoriers, compta-bles, responsables sécurité, infor-maticiens, qualiticiens, contrôleursde gestion, juristes, etc. Un dispo-sitif de contrôle interne, prenant enconsidération ces différentsacteurs, permettra de couvrir aumieux les risques liés au processusde gestion des immobilisations.

Ce Cahier de laRecherche propose

un cadre pédagogique et un guide pratiquepour la mise en œuvre efficace d’une organisation et de moyensde gestion du risque de fraude.Le risque de fraude se situe entre les préoccupations éthiques etles processus de contrôle interne d’une organisation. Ainsi, uneapproche fondée exclusivement sur les processus ou la techno-logie ne suffira pas à maîtriser le risque de fraude. De même, unefocalisation exclusive sur la sociologie ou la psychologie du frau-deur potentiel manquera son objectif, faute de moyens decontrôle précis et efficaces. Une grille de diagnostic permet de vous assurer que votre orga-nisation dispose des pré-requis indispensables à l’efficacité dudispositif de lutte contre la fraude. Les résultats de ce diagnosticcontribueront à la construction et au pilotage des différentes

- Cahier de la Recherche -

La fraudeComment mettre en place un dispositif de lutte anti-fraude ?

Auteur : Unité de recherche IFACI

Novembre 2010 - Format : 16,5 x 23 cm - 148 pages - Prix HT : 30 €ISBN : 978-2-915042-21-4

Société : ...........................................................................................................................................................................................................................................................

Nom : .................................................................................................................. Prénom : .........................................................................................................................

Adresse : ..........................................................................................................................................................................................................................................................

Code postal : ........................................ Ville : .................................................................................................. Pays : ...........................................................................

Tél. : ......................................................... Fax : ....................................................... Mél : ..........................................................................................................................

B O N D E CO M M A N D E

TITRE PRIX HT QUANTITÉ TOTAL

La fraude 30 €

Total HT TVA 5,5 % Port et emballage*

Net à payer TTC

PAIEMENT PAR : Chèque bancaire ou postal (à l’ordre de l’IFACI)

Virement au HSBC Paris Champs-Elysées - Compte IFACI n°30056-00148-01485415521-72

Carte de crédit (Montant minimum 16 € TTC) - N°.............................................. Date d’expiration :

DATE : ............................................... SIGNATURE :

(*) 6 € par ouvrage (Union Européenne) et 12 € par ouvrage (hors Union Européenne)

Bon de commande a retourner à Marie-Thérèse TranIFACI - 98 bis, bd Haussmann - 75008 Paris - Tél. : 01 40 08 48 16 - Fax : 01 40 08 48 20 - Mel : [email protected] - Internet : www.ifaci.com

Règlements : Joindre obligatoirement le règlement à votre commande.Chèque : libellé en euros tiré sur une banque française. Virement : les virements émis à partir d’une banque hors de France doivent être nets de tous frais bancaires pour l’IFACI.

Une facture justificative ainsi que votre commande vous seront adressés dès réception de votre règlement.

étapes du dispositif (Prévention, détection, investigation etcorrection). Par exemple, un des éléments de maturité observableconcerne la façon dont la fraude est traitée dans la communica-tion interne, sans pudeur excessive ni curiosité malsaine, et dansle respect des personnes.Les trois dernières parties du cahier illustrent des activités cléspour la gestion du dispositif. Elles vous aideront à répondre auxquestions suivantes :• Comment gérer un soupçon de fraude ? • Pourquoi faut-il envisager une cartographie spécifique des

risques de fraude ? Comment la construire ? Comment en faireun véritable outil de gestion proactive du risque de fraude ?

• Comment analyser les cas avérés de fraude et en tirer des ensei-gnements ? Un format de fiche d’analyse vous est proposé.Adaptée à votre organisation, elle facilitera l’identification descontrôles pratiques à mettre en œuvre.

Par la diversité des sujets traités, ce cahier de la recherches’adresse aussi bien aux responsables des structures d’audit oude contrôle interne qu’aux opérationnels.


DOSSIER

Ethique, fraude et corruptionLe rôle des auditeurs internes

Enquête OCDE : Contrôle et audit internes, assurerl’intégrité et la responsabilité du secteur publicLouis Vaurs

19

Transparence et intégrité : les entreprises doiventtenir compte des attentes nouvelles de la sociétéDaniel Lebègue et Julien Coll

14

Le conflit d’intérêts : le symbole de la dérive del’éthiqueYoanna Pons et Noël Pons

24

L’éthique, rempart suffisant pour prévenir et réduireles abus de la fraude dans les organisations ?Yves Bilodeau

30

Politique et programme de prévention de lacorruption de TotalJean-Pierre Audoin

36

14

DOSSIER


Transparence et intégrité :les entreprises doiventtenir compte des attentesnouvelles de la société

Atravers une succession d’affaires retentissantes, lesderniers mois ont été marqués par la place centralequ’a occupée dans l’actualité française le thème de la

moralisation de la vie publique et de la vie des affaires. Rare-ment les attentes vis-à-vis de ces questions ont semblé aussifortes. Il est aujourd’hui incontournable tant pour les respon-sables publics que pour le monde de l’entreprise d’en prendreacte. Un rapport de notre ONG paru en 2009 a, par exemple,montré que la défiance des citoyens vis-à-vis de l’intégrité desentreprises s’était nettement accrue à la suite de la crise finan-cière1.

Il n’est plus possible aujourd’hui d’ignorer les attentesvoire les exigences légitimes du citoyen à l’égard de lamoralisation de la vie publique et de la vie des affaires.Transparence International France, ONG, sensibilisel’opinion aux conséquences de la corruption, en mêmetemps qu’elle la combat. Elle est particulièrement activedans quatre domaines : la prévention des conflits d’in-térêts, l’encadrement du lobbying, la lutte contre lesparadis fiscaux et la lutte contre la corruption sur lesmarchés internationaux. Pour l’instant, seuls le premieret le dernier thèmes sont généralement couverts par desrègles déontologiques.

Daniel Lebègue

Président Transparence International France

Julien Coll

Délégué général Transparence International France

15

Ethique, fraude et corruption

avril 2011 - Audit & Contrôle internes n°204

Transparence International France (« TI France »)est une organisation non gouvernementale quiagit pour promouvoir les pratiques de transpa-rence et d’intégrité dans la vie publique etéconomique. Notre association s’efforce desensibiliser l’opinion aux conséquences de lacorruption et travaille de concert avec les déci-deurs publics, les entreprises et la société civiledans le but de la combattre.

Quatre sujets retiennent aujourd’hui particuliè-rement notre attention : la prévention desconflits d’intérêts, les pratiques de lobbying, lalutte contre les paradis fiscaux et la corruptiondans le commerce international. Quatre sujetsdont les politiques de conformité des entreprisesdoivent aujourd’hui nécessairement tenircompte.

Prévention des conflitsd’intérêts

Pourquoi, dans toutes les enquêtes d’opinion,deux Français sur trois déclarent-ils que les éluset dirigeants politiques sont dans notre pays« corrompus » ou « exposés à la corruption » ?Seule une infime minorité d’entre eux, on le sait,utilise leur fonction officielle pour s’enrichirpersonnellement. En revanche, plus nombreuxsont les titulaires d’une charge publique – minis-tres, parlementaires, élus locaux, fonctionnaires– qui sont soupçonnés de faire passer leurs inté-rêts personnels, partisans ou ceux d’une relationd’affaires avant l’intérêt général. Le manque detransparence nourrit et aggrave le soupçon. Leconflit d’intérêts, réel ou présumé, mine laconfiance des citoyens dans ceux qui ont lacharge de l’intérêt général.

Cette question se pose dans tous les pays démo-cratiques, mais ce qui caractérise la situation dela France, c’est l’absence à peu près totale derègles et de bonnes pratiques ayant pour objet

de prévenir et de traiter les conflits d’intérêtsdans la sphère politique et publique. Lorsque desrègles existent, la pratique montre que leur effi-cacité est très insuffisante. On l’a par exemple vurécemment au sujet du passage trop rapide deresponsables publics vers des postes de directiondans des entreprises dont ils avaient à connaîtredans leurs précédentes fonctions.

Comme l’a montré l’actualité de ces derniersmois, les Français sont de moins en moins dispo-sés à accepter certains avantages, privilèges etimmunités dont bénéficiaient jusque-là leursreprésentants. Nos responsables politiquessemblent aujourd'hui en avoir pris conscience. Ace titre, nous avons accueilli avec beaucoup desatisfaction les nombreuses déclarations enfaveur d’un encadrement des conflits d’intérêts.Le sujet devrait d’ailleurs probablement figureren bonne place dans les propositions des candi-dats aux prochaines élections présidentielles.Nos responsables politiques doivent s’enconvaincre : le contrat de confiance avec nosconcitoyens, qui est la base de la démocratie, nepourra être rétabli qu’au prix d’une réformeprofonde de nos règles et de nos mœurs. Lemonde de l’entreprise est bien sûr concerné. Ildevrait par exemple bannir les contrats de consul-ting avec les sociétés appartenant à des parle-mentaires. Ces contrats créent nécessairementdes soupçons de trafic d’influence.

Encadrement du lobbying

Le lobbying joue en France un rôle de plus enplus important dans l’élaboration de la décisionpublique. S’il peut contribuer à apporter auxdécideurs publics des éléments d’information etde compréhension sur des questions toujoursplus complexes et, ainsi, utilement éclairer leuraction, le lobbying – ou son manque de transpa-rence – peut également dériver et être préjudi-ciable au bon exercice de la démocratie (diversité

16

DOSSIER


insuffisante des intérêts représentés, informa-tions trompeuses, trafic d’influence). L’encadre-ment des activités des groupes d’intérêts estdonc au cœur de la question d’un meilleur fonc-tionnement démocratique.

Le monde de l’entreprise commence à prendreconscience des attentes croissantes de ses partiesprenantes dans ce domaine. Deux initiativesauxquelles TI France a participé sont récemmentvenues le démontrer.

Avec notre appui, l’agence de notation extra-financière Vigeo a développé un nouveau critèredans son référentiel de notation de la responsa-bilité sociale des entreprises. Depuis le 1er juillet2010, Vigeo prend en compte dans son évalua-tion « la transparence & l’intégrité des stratégieset des pratiques d’influence ». Vigeo mesuredorénavant comment les entreprises rendentcompte publiquement des engagements pris,des dispositifs et des ressources qu’elles mobili-sent, soit en interne, soit en faisant appel à desorganismes spécialisés (think tanks, cabinets delobbying, associations professionnelles…), pourprendre part aux expertises et aux processuslégislatifs et réglementaires susceptibles d’affec-ter leurs intérêts.

Notre association a également contribué à l’éla-boration, par le groupe Lafarge, d’une charte dulobbying. Cette charte fixe un cadre général àl'exercice des activités de lobbying à tous lesniveaux de l'entreprise et s’applique aux rela-tions avec l’ensemble des décideurs publics(associations professionnelles, parlementaires,fonctionnaires, etc.)

Lutte contre les paradis fiscaux

La lutte contre la corruption passe nécessaire-ment par plus de transparence et de régulationdu secteur financier. Le manque de contrôles

actuel permet encore la circulation de l’argentsale, dont celui de la corruption. Selon uneévaluation de l’organisation Global FinancialIntegrity, les flux financiers illicites en prove-nance des pays en développement se sont élevésen 2008 entre 1 260 et 1 440 mds $. Parmi cesflux, 3 à 5% proviennent des avoirs issus de lacorruption, 30 à 35% sont le produit d’activitéscriminelles et 60 à 65% sont liés à l’évasionfiscale pratiquée par les entreprises multinatio-nales.

Depuis la crise financière de 2008, notre associa-tion a accentué ses actions de plaidoyer dans cedomaine avec une attention particulière portéeaux abus des paradis fiscaux.En partenariat avec le CCFD-Terre Solidaire, uncourrier a par exemple été adressé à tous lesPrésidents de conseils régionaux, généraux et à130 maires pour les encourager à s’inspirer desinitiatives des conseils régionaux d’Ile-de-Franceet de Rhône-Alpes. Ces deux régions ont effetdécidé de ne plus travailler avec les établisse-ments bancaires ou financiers exerçant dans desEtats ou territoires non coopératifs. Les banquesqui contracteront avec ces collectivités devrontdésormais fournir des informations sur leursactivités dans les paradis fiscaux. En réponse aucourrier de TI France, onze autres régions ont àce jour déjà pris des engagements similaires.

Une nouvelle loi de régulation bancaire et finan-cière a été adoptée en 2010 avec pour objectif detirer les leçons de la crise financière et de mettreen œuvre certaines des recommandations duG20 dans ce domaine. TI France s’est félicité despropositions figurant dans ce texte et en parti-culier de celles visant à renforcer les pouvoirs del’Autorité des Marchés Financiers (AMF),notamment en ce qui concerne la prévention etla sanction des conflits d’intérêts au sein desagences de notation. Notre association a néan-moins recommandé aux parlementaires de

17



compléter la loi sur plusieurs autres pointsessentiels.

TI France a en particulier renouvelé sa demandepour que soit intensifiée la lutte contre lescentres financiers non-coopératifs. L’associationavait accueilli positivement la loi adoptée en juin2009 par le Parlement français qui visait à impo-ser aux banques de rendre publiques leursimplantations et la nature de leurs activités dansles territoires non coopératifs. Nous avions saluéle fait que la France ait été le premier pays duG20 à mettre en œuvre cette recommandation,défendue par TI France depuisplusieurs années. Nous avonscependant regretté que la listefrançaise des « territoiresnon coopératifs » soit sirestrictive et que n’y figu-rent encore que des centresoff-shore de seconde divi-sion.

Lutte contre lacorruption sur lesmarchés internationaux

Les risques engendrés par les pratiques decorruption dans le commerce international n’ontcessé de s’accentuer au cours des 10 dernièresannées. L’actualité récente démontre que cettetendance devrait s’accélérer.

La période actuelle est tout d’abord marquée parle rejet croissant de la corruption par les popu-lations des pays en développement. Le Prin-temps arabe vient de montrer que, même dansdes pays où les besoins fondamentaux des popu-lations sont satisfaits (Tunisie, Egypte, Libye), lespopulations ne tolèrent plus que les richessessoient accaparées par des dictateurs kleptocrateset leurs entourages. Il devient ainsi de plus enplus risqué pour les entreprises d’entrer en

accointance avec ce type de dirigeant. Lorsqueceux-ci perdent le pouvoir, des risques juridiquesnaissent mécaniquement du fait des efforts desnouveaux gouvernements et de la communautéinternationale pour identifier, geler et restitueraux populations l’argent de la corruption (avoirsfinanciers, prises de participation dans des entre-prises).

Les politiques pénales des grands Etats sont parailleurs de plus en plus incisives. Parmi lesgrands pays, les Etats-Unis et l’Allemagne sontceux qui ont prononcé le plus de condamna-

tions, non seulement à l’encontred’entreprises domiciliées dans cespays, mais également à l’en-contre de sociétés domici-liées dans des pays tiers. Sila France a ouvert plusd’une vingtaine d’en-quêtes, seules deuxcondamnations ont, pourl’instant, été prononcées et

sur des affaires mineures. Dansune optique revendiquée de dissua-

sion, le secrétariat d’Etat américain à laJustice a publiquement annoncé son intentiond’axer sa politique pénale sur la sanction desresponsabilités individuelles des managersimpliqués dans des cas de corruption (prisonferme).Les efforts des pays occidentaux et de l’OCDEpour que les entreprises des BRICS (Brésil,Russie, Inde, Chine, Afrique du Sud) soientégalement soumises aux règles internationalesanti-corruption commencent à porter leursfruits : la Russie est en passe d’adhérer à laconvention de l’OCDE et la Chine – si elle n’apas encore formellement adhéré à la conventionpour ne pas être soumise à l’examen par les pairs– vient d’adopter une loi incriminant la corrup-tion d’agents publics étrangers. L’Inde est sur lemême chemin.

« Le manque detransparence nourrit etaggrave le soupçon »

18

DOSSIER


La lutte contre la corruption transnationale faitenfin partie des grandes priorités définies par leG20. Un groupe de travail dédié, co-présidé parla France et l’Indonésie a déjà défini un pland’action. Parmi les priorités : assurer la mise enœuvre des lois pénalisant la corruption d’agentspublics étrangers et protéger des représailles lespersonnes qui dénoncent les cas de corruption(whistleblowers).

* **

Avec d’autres, TI France encourage les entre-prises à s’engager publiquement à agir contre lacorruption et à expliquer à leurs partiesprenantes les politiques et dispositifs mis enplace pour mettre en œuvre cet engagement.

Dans ce contexte, de plus en plus d’entreprisesannoncent l’adoption de politiques et deprogrammes dédiés, combinant la formalisationde règles de déontologie à des dispositifs decontrôle (alerte éthique, audits dédiés), deressources humaines (formations, prise encompte dans l’évaluation annuelle, protectiondes lanceurs d’alerte, déontologues chargés d’ai-der à l’interprétation des règles) et de commu-nication adaptés.

Si les thèmes de la prévention des conflits d’in-térêts et de la lutte contre la corruption sontgénéralement couverts par ces règles de déon-tologie, ceux du lobbying et des paradis fiscauxdoivent, on l’a vu, désormais aussi l’être.

Le diplôme professionnel qui atteste de vos aptitudes à conduire unemission d’audit interne en autonomie selon les normes et les bonnespratiques de la profession.

INFORMATIONS PRATIQUES

A qui s’adresse-t-il ?A tous les auditeurs internes souhaitantvaloriser leur expérience en auditinterne.DuréeL’examen du DPAI se déroule sur unejournée.Tarif50 € HT (droits d’inscription)

Pour toute information complémentaire sur le DPAI, contactez Perrine Bénardau 01 40 08 48 11 ([email protected])

POUR EN SAVOIR PLUS ...

Site Internet (www.ifaci.com) consulter le programme détaillé de l’examen ; télécharger le modèle d’examen et les annales ; développer vos compétences en suivant les formations sur

les « Fondamentaux de l’audit interne ». se mettre dans le conditions de l’examen en suivant la

formation de préparation au DPAI.

Diplôme Professionnelde l ’Audit Interne

1. http://www.transparence-france.org/e_upload/pdf/cp_barometre_mondial_corruption_2009_030609.pdf

19



Enquête OCDEContrôle et audit internes :assurer l’intégrité et la responsabilitédu secteur public

Dans le cadre des célébrations du50ème anniversaire de l’OCDE, s’esttenu à Paris, le 13 avril 2011, un

symposium ayant pour objectif de recueillirles expériences de fonctionnaires travaillantdans le domaine du contrôle et de l’auditinternes et d’experts dans le domaine de l’in-tégrité et de la prévention de la fraude et dela corruption, et de débattre avec eux desproblèmes auxquels ils sont confrontés.

Ce symposium a été organisé conjointement parl’audit interne et la direction de la gouvernancepublique et du développement territorial del’OCDE, en partenariat avec l’IFACI.Nous remercions Dominique Pannier et Chris-tian Vergez de nous avoir autorisé à publier lesmeilleures pages du rapport présenté à cetteoccasion. Ce rapport s’appuie sur une enquêtede l’OCDE réalisée en 2010 auprès de 73 minis-tères répartis dans 12 pays : six pays européens(Bulgarie, Finlande, France, Pays-Bas, Suède etRoyaume-Uni) ; deux pays d’Amérique du Nord(Canada et Etats-Unis) ; un pays d’Amérique du

Sud (Brésil) ; deux pays d’Asie et d’Océanie(Japon et Australie) ; un pays d’Afrique (Afriquedu Sud).

Principaux constats

1 – Rattachement hiérarchique de l’auditinterne à la plus haute autorité des ministèrespour 75 % des répondants, dont ceux duCanada, des Etats-Unis et de la France. Un telrattachement est considéré comme le deuxièmecritère le plus important pour améliorer lacontribution de l’audit interne à la prévention età la détection de la fraude et de la corruptionainsi qu’à son reporting.Il assure une plus grande indépendance de l’au-dit interne pour l’établissement du plan d’auditet du programme des missions d’assurance, pourla réalisation des travaux et la préparation desrecommandations. Il accroît par ailleurs la capa-cité de l’audit interne d’avoir accès aux informa-tions dont il a besoin et de se coordonner avecles autres acteurs du contrôle interne ainsiqu’avec l’audit externe.

Louis Vaurs

20

DOSSIER


46 % des répondants ont un comité d’auditque l’on trouve essentiellement dans les minis-tères d’Afrique du Sud, d’Australie, du Canada,des Pays-Bas et du Royaume-Uni.En France, la moitié des ministères participantsn’a pas de comité d’audit. Dans le cadre de la« Révision générale des politiques publiques »lancée récemment, un cadre de contrôle internedevrait être adapté prochainement y compris laformalisation de services d’audit interne et lamise en place de comités d’audit dans les diffé-rents ministères.Au Canada, le mandat des comités d’audit estdéfini dans la « Directive sur les comités minis-tériels d’audit », et inclut le suivi des mesuresprises pour atténuer les risques identifiés, le suivide l’exécution du plan d’action et la suite donnéeaux recommandations de l’audit interne, sansqu’il soit fait expressément mention de la fraudeet de la corruption.Aux Etats-Unis, une loi de 1978 impose la créa-tion dans tous les ministères et organismes fédé-raux d’un service d’inspection générale chargédes audits et enquêtes. En vertu de cette loi,l’inspecteur général nommé par le président desEtats-Unis est directement rattaché au chef del’organisme concerné ou à son chef adjoint, àl’exclusion de tout autre responsable. Il rendcompte par ailleurs au Congrès et l’informe detout problème ou dysfonctionnement y comprisdes cas de fraude.

2- Répartition des responsabilités entre l’au-dit interne et un département enquêtes enmatière de fraude et de corruption.Trois situations ont été identifiées :• Les fonctions d’audit interne et d’enquête surles cas de fraude et de corruption coexistentsous l’autorité du même responsable, c’est lecas notamment aux Etats-Unis.

• Les deux fonctions existent en tant qu’entitésdistinctes au sein du même ministère. C’est lasituation la plus fréquente. On la trouve en

Australie, en France, au Canada, au Royaume-Uni.

• Les deux fonctions existent en tant qu’entitésdistinctes mais, dans certains ministères, lafonction d’enquête sur les cas de fraude et decorruption est implantée à l’extérieur duministère. On trouve cette situation au Brésilet en Afrique du Sud.

Au Japon, il n’y a pas de fonction spécifiqued’enquête sur les cas de fraude et de corruption.

Il est difficile de dire, à la lecture des réponses àl’enquête, s’il est plus efficace, pour promouvoirl’intégrité au sein des ministères, de donner àl’audit interne des responsabilités spécifiques enmatière d’enquête sur la fraude et la corruption,ou de faire assumer cette responsabilité par uneentité distincte.

Le risque de non-prise en compte des insuffi-sances du contrôle interne est semble-t-il plusgrand si le mandat pour les enquêtes sur lafraude et la corruption est assumé par une entitédistincte, a fortiori si celle-ci est établie à l’exté-rieur du ministère.

3- Communication des travaux et des conclu-sions de l’audit interne à l’audit externe.Les réponses des pays montrent que les relationspeuvent aller du minimum, lorsque l’accès auxagents et aux dossiers de l’audit interne estaccordé à l’audit externe sur demande, au cas duRoyaume-Uni où dans un ministère ayant parti-cipé à l’enquête, l’audit externe et l’audit interneparticipent à toutes les réunion du comité d’au-dit.

Dans les pays anglo saxons (Afrique du Sud,Australie, Canada, Etats-Unis et Royaume-Uni),les relations sont intenses. Il en va différemmentpour des pays tels que la France, le Japon ou laSuède.

21



4- Existence d’un cadre de référence decontrôle interne et de gestion des risques.91 % des répondants déclarent avoir adopté uncadre de contrôle interne comprenant des acti-vités de contrôle, la description de l’environne-ment de contrôle, une évaluation des risques etun mécanisme de surveillance (autant dire que cecadre de référence s’apparente au cadre du COSO).Toutefois, un certain nombre de réponsesmontre que le cadre de référence de contrôleinterne et de gestion des risques est insuffisam-ment formalisé. Il est interprété par beaucoupcomme s’appliquant uniquement aux opérationsbudgétaires et financières.Pour la majorité des répondants,disposer d’un bon dispositif decontrôle interne est le facteurle plus souvent classécomme le plus importantpour lutter contre la fraudeet la corruption.88 % des ministères répon-dants possèdent un cadred’éthique ; 77 % confirmentl’existence d’une formation oud’actions de sensibilisation àl’éthique ; 82 % ont une politique en matièrede conflit d’intérêts.L’implication du management est considérécomme un élément déterminant de tout systèmeefficace de contrôle interne et de gestion desrisques : 87 % des répondants déclarent que lemanagement a la responsabilité d’assurer lescontrôles internes ; 84 % consignent qu’il doitgérer les risques, mais seulement 75 % signalentqu’il est également chargé de la prévention de lafraude et de la corruption.

5- Mandat de l’audit interne.Si une majorité de ministères répondants(notamment en Afrique du Sud, au Royaume-Uni, dans une moindre mesure au Canada)indique que leur mandat fait référence à la

fraude ; 44 % précisent toutefois que tel n’est pasle cas pour eux. Ce pourcentage s’élève à 58 %lorsqu’il s’agit de la corruption. Les Etats-Unissont le seul pays où la référence à la corruptionest mentionnée par tous les ministères répon-dants.Dans les ministères canadiens répondants,même si le mandat de l’audit interne nementionne pas la fraude et la corruption, lacontribution de ceux-ci à leur lutte est relative-ment élevée, sans doute parce que les mandatsdes services d’audit interne de ces ministèresfont référence aux normes de l’IIA et/ou à laréglementation ou aux directives nationales

portant sur le risque de fraude encoreplus rigoureuses que les ditesnormes.

6- Evaluation de l’effica-cité du système de luttecontre la fraude et lacorruption.Pour 62 % des répondants(notamment ceux des Etats-

Unis, du Canada, du Royaume-Uni et des Pays-Bas), les procédures

en place sont suffisantes pour prévenir lafraude et la corruption. En France, les avis sontpartagés.97 % des services d’audit interne présentent unrapport annuel couvrant leurs activités ; pour81 % d’entre eux, leurs rapports soulèvent desquestions importantes concernant l’expositionaux risques et leur contrôle, y compris les risquesde fraude et de corruption.De l’avis des répondants, l’établissement derapports périodiques constitue l’un des princi-paux facteurs susceptibles d’améliorer la contri-bution des services d’audit interne à laprévention, à la détection et au reporting des casde fraude et de corruption. Il est placé au 3e rangsur 13 facteurs, en terme d’importance pondé-rée, et il a été considéré comme un sujet impor-

« Le cadre de référencede contrôle interne etde gestion des risques

est insuffisammentformalisé »

22

DOSSIER


tant pour plus de la moitié des ministères ayantrépondu.

7- Professionnalisation de l’audit interne.Pour 86 % des répondants, les auditeurs internessont tenus de posséder des qualifications profes-sionnelles particulières ou sont encouragés à lesacquérir (connaissances en matière d’audit, maisaussi dans les domaines connexes comme lacomptabilité, la finance, les technologies de l’in-formation ou les enquêtes). Pour 52 % desrépondants, les auditeurs internes reçoivent uneformation spéciale pour les sensibiliser aux ques-tions de fraude.Plusieurs pays (Australie, Canada, Etats-Unis,Royaume-Uni et Suède) préfèrent les diplômesdélivrés par les instituts professionnels spéciali-sés. Parmi les diplômes les plus fréquemmentcités, il y a le CIA et le CGAP, les diplômes d’ex-pertise comptable, le CISA délivré par l’ISACA(représenté en France par l’AFAI) et le CFE(Certified Fraud Examiner) délivré par l’Associationof Certified Fraud Examiners.Enfin, une assez large majorité de répondants,soit 81 %, déclare que leur service a mis en placeun mécanisme d’assurance qualité comprenantune évaluation interne suivi d’une évaluationexterne par un organisme indépendant.

Principales recommandations

1- L’audit interne doit être indépendant.Pour ce faire, il doit être rattaché au ministre ouà son adjoint direct. Un tel rattachement devraitêtre une obligation légale et devrait être forma-lisé dans le mandat de l’audit interne.Un comité d’audit indépendant, relevant de laplus haute autorité du ministère, pourrait êtreétabli. Son mandat devrait clairement couvrir lasurveillance de l’exposition aux risques, notam-ment ceux qui concernent la fraude et la corrup-tion. Il devrait, d’autre part, être informépériodiquement des cas de fraude et de corrup-tion. Enfin, la majorité de ses membres devraitêtre recrutée à l’extérieur du ministère et, sipossible, pour certains d’entre eux, en dehors del’administration publique.L’audit interne devrait avoir des liens étroits avecle comité d’audit.

2- Lorsque les fonctions sont séparées, il estrecommandé ce qui suit :Un mandat clair pour chaque fonction, s’accom-pagnant de politiques/règles de travail et decoordination destinées à éviter les doublesemplois ; une information systématique etrapide de l’audit interne sur tout cas de fraudeou de corruption ; un retour d’information del’audit interne vers les autres fonctions sur lesinsuffisances du contrôle interne et la mise enœuvre de mesures correctives ; des réunionsrégulières de coordination des programmes detravail et des résultats (y compris la communica-tion des rapports annuels) ; des activitésconjointes de formation/sensibilisation auxrisques de fraude et de corruption.

Ce n’est pas parce qu’une fonction est chargéedes enquêtes sur les cas de fraude et de corrup-tion que l’audit interne n’a aucune responsabilitédans ce domaine. Comme le préconisent lesnormes, le mandat de l’audit interne devrait

23



expressément viser à évaluer « le risque de fraudeet la façon dont ce risque est géré par l’organisa-tion ». Le mandat de l’audit interne doit préciserce rôle pour chaque étape d’un processus effi-cace de lutte contre la fraude (présentation,détection, enquête, amélioration grâce à l’expé-rience acquise).Les normes ne faisant pas expressément réfé-rence à la corruption, il est recommandé d’in-clure une telle référence dans toute future miseà jour des normes.

3- Etudier plus avant comment une coordina-tion accrue entre l’audit interne et l’auditexterne pourrait contribuer à atténuer lesrisques de fraude et de corruption.

4- Faire jouer à l’audit interne un rôle essen-tiel en préconisant la formalisation d’un cadrede contrôle interne et de gestion des risquesallant au-delà des contrôles purement financiers,pour englober aussi l’environnement de contrôleau sens très large en y incorporant notammentles codes d’éthique et les plans de prévention dela fraude et de la corruption.

5- Faire explicitement référence aux risquesde fraude et de corruption dans le mandatdes services d’audit interne.Y ajouter une réfé-rence claire aux normes afin de renforcer l’acti-vité des services d’audit interne dans cedomaine.

6- Evaluer la qualité et l’efficacité descontrôles mis en place par le managementpour traiter expressément les risques de fraudeet de corruption.

7- Exiger de tout auditeur interne des compé-tences générales en audit interne et desqualifications spécifiques pour mieuxévaluer les risques de fraude et de corrup-tion, et pour mieux les détecter ; fournir uneformation aux auditeurs internes afin de lessensibiliser aux questions de fraude et de corrup-tion ; mettre systématiquement en place unprogramme d’assurance qualité faisant impéra-tivement l’objet d’une évaluation externe par unorganisme indépendant.

Pour plus d’informations, une présentation du séminaire et lerapport sont disponibles sur le site internet de l’OCDE, Gouver-nance Publique : www.ocde.org

Norme1210.A2 - Les auditeurs internes doiventposséder des connaissances suffisantes pour évaluerle risque de fraude et la façon dont ce risque est gérépar l’organisation. Toutefois, ils ne sont pas censésposséder l'expertise d'une personne dont la respon-sabilité première est la détection et l'investigation desfraudes.

24

DOSSIER


Le conflit d’intérêts :le symbole de la dérivede l’éthique

Depuis le début des années 2000 leconflit d’intérêts se développe demanière exponentielle à travers le

monde. De nombreuses situations sca breusesalimentent de façon récurrente les rubriques« scandale » et agressent l’image des entitésconcernées. Ces situations affectent de la mêmemanière les élus, les fonctionnaires, le manage-ment des entreprises privées ou associatives. Ce

n’est pas nouveau, rappelons simplement l’unedes plus célèbres maximes du duc de LaRochefoucauld, moraliste engagé du 17ème

siècle : « Toutes les vertus des hommes se perdentdans l’intérêt comme les fleuves se perdent dans lamer »1.A travers cet article, nous vous proposons unepromenade parmi les conflits les plus courants.Nous visiterons d’abord les conflits majeurs rele-

Le conflit d’intérêts est une situation dans laquelle les intérêts personnels d’un individu sonten opposition avec ses devoirs. Le conflit d’intérêts se nourrit de contingences installées auxfrontières du droit, de la morale et de la fraude. Les conflits d’intérêts peuvent être classésen trois catégories : le conflit réel (la personne a un intérêt avéré), le conflit apparent (lesintérêts personnels n’existent pas réellement), le conflit potentiel (les intérêts personnels sontinsuffisants à l’instant où la question du conflit se pose).

Noël Pons

CIA, Essayiste et consultant

Yoanna Pons

Auditeur SI, groupe Tuillet

25



vés dans le secteur associatif2 après avoir rapide-ment cité les conflits propres aux auditeurs, vien-dront ensuite ceux rencontrés dans lesadministrations, elles sont aussi auditées, puisceux rencontrés dans le secteur privé et commer-cial.

* * *

Le conflit d’intérêts est une situation personnelleparticulièrement complexe, qui nécessite unedéfinition simple. Cependant, le diable étantdans les détails, chaque cas nécessite uneapproche appropriée. La définition communé-ment retenue est la suivante: « Le conflit d’intérêtsse définit comme une situation dans laquelle les inté-rêts personnels d’un individu sont en opposition avecses devoirs, lesquels tendent justement à la protectiondes intérêts dont elle a la charge. »

Pour en éclairer les causes n’oublions jamais quele conflit d’intérêt se nourrit de contingencesinstallées aux frontières du droit, de la morale etde la fraude. Dans cette zone équivoque chacundispose d’un intérêt personnel intellectuel etévidemment matériel qu’il peut privilégier audétriment de celui qu’il a l’obligation de défen-dre. Celui qui a confié son intérêt à l’autre peutaussi attendre un traitement favorable à sesespérances. Ce choix relève finalement d’unedécision personnelle3.Comme cela a été si souvent décrit, dans cesétapes ultimes des conflits d’intérêts que sont lafraude et la corruption, l’ensemble de la popula-tion se segmente grosso modo en trois groupes.Le premier, estimé à vingt pour cent4, sembleprogrammé pour frauder où pour s’installer dansdes comportements flirtant avec l’illégitime. Lesecond groupe, soit vingt autres pour cent, n’estjamais tenté, car disposant d’une éthiquepersonnelle suffisamment solide pour définirson « comportement juste ». Le troisièmegroupe, soixante pour cent environ, car moins

structuré, peut glisser vers l’illégitime en fonctionde son environnement proche : la morale envi-ronnante est approximative et rien ne sanctionnece comportement. Au contraire, il se cantonnedans un cadre éthique lorsque l’environnementest exemplaire et que le contrôle interne prévientle risque. Les personnes susceptibles d’être en conflit d’in-térêts rentrent pleinement dans ce cadre.

L’analyse des argumentaires présentés par lespersonnes mises en cause ou soupçonnées d’agiren conflit d’intérêts apportent un second degréd’analyse. Deux arguments sont systématique-ment évoqués, le premier, invariable, est l’hon-nêteté. Il n’y aurait donc pas de conflit d’intérêtspour les gens honnêtes ! Ce n’est pas faux maiscomment reconnaît-on un homme ou unefemme honnête ? Seule la transparence totaledes situations le confirme. C’est là tout leproblème : désirons nous disposer des preuvesde cette honnêteté, nous voilà limités par l’at-teinte à la liberté individuelle, ce qui est légitimemais qui pose néanmoins un problème de trans-parence dans un monde obnubilé par l’argent. Le second argument est le mimétisme. Il n’yaurait pas non plus de conflit si les intéressés nefont rien d’autre que se conformer à un compor-tement général5, ce qui constitue une reconnais-sance implicite de la situation : « ce que j’ai faitn’est rien à côté de ce que j’ai vu faire… ».Cependant le droit pénal applique la célèbreformule « Nemo auditur propriam turpitudinemallegans » : nul ne peut se prévaloir de sa propreturpitude.Ces deux arguments ne sont, évidemment, pasrecevables car le conflit d’intérêts instille uneculture du soupçon, la propagation de la rumeuret attise la méfiance. Cette dualité entre un comportement relevant dela sphère individuelle et le fait qu’il puisse affec-ter fortement la sphère professionnelle a néces-sité l’élaboration de certaines règles.

26

DOSSIER


Historiquement, elles ont d’abord encadré lagestion publique. Philippe le Bel, le premier aédicté un règlement en 1302. Les agents du roidevaient respecter quelques principes tels que ledésintéressement, l’impartialité, l’interdictiondes cadeaux (y compris les « pots-de-vin »6), l’in-terdiction des rémunérations provenant desparticuliers, l’interdiction d’accepter des prêts,l’obligation d’avoir une vie de « bonne renom-mée » moins aisément évaluable... Un grandnombre de textes ont donné un caractère délic-tuel à certains comportements. La Révolutionfrançaise en a produit beaucoup comme lesannées d’après guerre. Les instances internatio-nales ont aussi élaboré des réglementationspertinentes au gré des scandales et des prises deconscience qui ont suivi.

Le secteur privé a identifié plus tardivement lerisque financier et le défaut d’image que cettesituation peut entraîner pour les organisations,il a aussi installé un cadre normatif. Les diverscodes de déontologie, les déclarations d’intérêt,la norme 1120, objectivité individuelle, en parti-culier, pour les auditeurs internes en sont lapreuve. Cette norme stipule : « les auditeursinternes doivent avoir une attitude impartiale etdépourvue de préjugés, et éviter tout conflit d’inté-rêts »7 et fait part d’une exigence d’objectivité8.

Nous sommes ici en présence d’une démarcheraisonnée de prévention. À titre d’exemple, uncode précisant les règles d’éthique des auditeurset contrôleurs devrait obliger le respect desexigences suivantes :• l’indépendance par rapport à des conflits d’in-térêts économiques ;

• l’indépendance par rapport à des conflitsprofessionnels, qui se matérialise par les obli-gations suivantes :- répercuter une information exacte auxactionnaires et aux propriétaires ;

- rapporter l’information appropriée à tous lesdirigeants, de manière à ne pas cacher desdonnées à certains responsables ;

- maintenir une présence éthique dans laconduite de ses activités, en particulier faireen sorte de ne pas contrevenir à l’esprit del’organisation ainsi qu’à la lettre des textesréglementaires, se conduire en conformitéaux standards moraux et légaux les plusélevés, et rapporter à l’autorité appropriéetout acte illégal ou frauduleux ;

- refuser toute compromission dans l’espoird’une réussite personnelle.

Le cadre est bien posé et on constate immédia-tement que ces exigences sont générales et s’ap-pliquent pratiquement dans tous les domaines.

Mais qu’en est-il de la matérialité de ces faits ?Comment peut-on identifier ces situations etévaluer les risques qu’elles présentent ? C’esttout le problème qui se pose pour les auditeurs.Les conflits d’intérêts peuvent être classés entrois catégories :• Le conflit réel, lorsque l’agent possède unintérêt avéré. Le conflit est dit « effectif » ou« réel » et il concerne la nature des intérêts(responsabilités familiales, foi religieuse, liensprofessionnels, appartenance politique, bienspersonnels, investissements, etc.) ou leurvaleur (intérêts dans une entreprise familiale,possibilité de réaliser un bénéfice important,d’éviter une perte financière, par exemple).Finalement c’est le conflit le plus simple à trai-ter lorsque les moyens d’investigation sontprésents9.

• Le conflit apparent, lorsque les intérêtspersonnels d’ordre privé n’existent pas réelle-ment, ou que les faits en cause ne sont pascertains : l’agent « semble posséder » des inté-rêts. Il faut alors approfondir.

• Le conflit potentiel, lorsque l’agent possèdedes intérêts privés qui ne sont pas suffisants àl’instant où la question du conflit se pose,puisqu’il n’existe pas encore de relation entreses fonctions et ses intérêts privés. Enrevanche, si les fonctions de l’agent changentou évoluent il conviendra d’en rendre compte.

27



Ces deux situations sont dangereuses car ellesouvrent la voie à toutes les rumeurs.

Quant à la notion d’intérêts privés ou person-nels, elle recouvre des intérêts financiers directset indirects, c’est-à-dire ceux de l’intéressé lui-même, mais aussi ceux de ses proches, de sesamis ou même ceux d’un groupe auquel ilappartient ; entre en ligne de compte tout ce quipourrait constituer, un intérêt, familial, politique,professionnel, confessionnel ou sexuel.

Les entités œuvrant dans le domaine associatifet les ONG, ont une image très marquée dusceau de l’intérêt général et par celui de larecherche d’une certaine éthique. Le conflit d’in-térêts est pour elles la situation la pire qui puisseadvenir puisqu’elle met la structure en défautvis-à-vis de ses donateurs.Un cadre réglementaire développe des mesuresde prévention afin de réduire le risque de fraudeet de manipulation dans ce secteur. Ainsi, l’exer-cice de certaines activités est incompatible avecla gestion ou la représentation d’une association.Ne peuvent, notamment, être dirigeants d’asso-ciation :• les commissaires aux comptes ;• les militaires, s’agissant d’associations ayantune activité politique ou syndicale ;

• les parlementaires10 ;• les membres de l’autorité de contrôle desnuisances sonores aéroportuaires11.

Sont aussi concernés :• les fonctionnaires en activité lorsque leurprésence ès qualités pourrait faire craindre uneviolation des principes de neutralité et d’éga-lité des individus devant les services publics ;

• les fonctionnaires ou agents non titulaires desdiverses agences des médicaments.

Les conventions entre les associations et leursdirigeants sont une source constante de conflits.Certaines sont interdites par des dispositionsréglementaires spé ciales. Les statuts types parti-

culiers sont souvent plus restrictifs que lesconventions réglementaires en matière decumuls par exemple. En principe, une mêmepersonne physique ou morale ne peut cumulerplusieurs fonctions de direction dans une mêmeassociation ou dans plusieurs groupements.Finalement, ne sont autorisées que les conven-tions dites « libres », car effectuées par une asso-ciation dans le cadre de son activité habituelle et,s’agissant d’actes de disposition, arrêtées à desconditions suffisamment usuelles pour s’appa-renter à des opérations habituelles12. Sont aussiautorisées les « conventions courantes »conclues à des conditions normales qui, enraison de leur objet ou de leurs implicationsfinancières, ne sont significatives pour aucunedes parties.

Les conditions peuvent être considérées commenormales lors qu’elles sont habituellement prati-quées par l’association dans ses rapports avec lestiers, de telle sorte que le dirigeant intéressé neretire pas de l’opération un avantage qu’il n’au-rait pas eu s’il avait été un partenaire quelconquede l’association. Il faut aussi tenir compte desconditions en usage pour des conventionssemblables dans d’autres associations ayant lamême activité13.De plus lorsqu’une association souhaite conclureune convention avec son propre représentant, cedernier ne peut14 :• ni représenter le groupement (contrat avec lui-même) ;

• ni déléguer à une personne de son choix lepouvoir de représenter l’association pour laconclusion de cette convention. Sont égale-ment concernées les conventions conclues parpersonne interposée, entre une associationvisée et l’un de ses dirigeants. Ce derniers’avérant le bénéficiaire réel alors qu’elles ontété apparemment passées avec un tiers.

Sont enfin soumises à réglementation lesconventions entre une association visée et unesociété, dont un associé indéfiniment responsa-

28

DOSSIER


ble est aussi dirigeant de l’association.De plus, les obligations édictées dans le cadre dela lutte anti blanchiment permettent d’identifierun grand nombre de montages par une simpleanalyse des flux.Les dérives constatées sont pourtant graves carelles portent souvent sur des sommes significa-tives, deux cas récents en sont la preuve : « LaCroix » du 17 janvier 2011 rapportait qu’uneescroquerie réalisée par plusieurs dirigeants(douze personnes sont mises en examen) d’uneassociation de soutien aux handicapés, portantsur 4,5 millions d’euros allait être jugée au tribu-nal de Paris. Le montage permettant de détour-nement les subventions était organisé autour desociétés écrans et de placements complexeseffectués dans des places « offshore ». De même, aux Etats-Unis, un grand nombred’associations pseudo religieuses étaient utili-sées par leurs dirigeants, criminels patentés,pour camoufler sous les donations un circuit decommerce d’organes et de contrefaçon. Desmillions de dollars ont transité par ces associa-tions. Sans atteindre ce degré de criminalisation,l’ARC a montré comment une succession deconflits d’intérêts permettait de détourner unepartie importante des dons et cela pendant unebonne dizaine d’années. L’intérêt général affecté à ces associations étaitl’accompagnement d’handicapés, la défensed’une religion, ou la recherche sur le cancer ; l’in-térêt des délinquants était le détournement desfonds collationnés.

Nous présentons maintenant quelques typolo-gies moins criminelles mais dont chacunemontre comment un dirigeant, un administra-teur, un salarié peuvent utiliser une structurecaritative pour améliorer leur situation financièrepersonnelle au détriment de l’objet associatif.Ces conflits qui peuvent aussi toucher l’égo, laquête d’une distinction, peuvent être regroupésen trois grandes pratiques :• Le détournement de dons est la premièrepratique. L’objet des associations non lucra-

tives est une image qui marque les donateurs(qualifiés de cibles dans le marketing associa-tif), c’est elle qui les motive et qui finalementactive les dons. Toute utilisation de ces fonds àune autre fin, chère à l’organisateur, relève duconflit d’intérêts et de l’abus de confiance.Trois exemples, le premier consiste à utiliserune partie des dons qui devraient être affectésà la protection de l’enfance, pour financer,éditer et promouvoir un opuscule promouvantune « œuvre » religieuse sans lien direct avecl’association. Un conflit d’intérêts, existe entrele dirigeant de l’association, lui-mêmemembre de l’œuvre au bénéfice de laquellel’ouvrage a été édité. Il y a fort à parier que bonnombre de donateurs sont touchés par ladétresse sociale beaucoup moins par le prosé-lytisme...Le deuxième, plus primaire, consistait à finan-cer par un chèque, au montant fort élevé parailleurs, une entité hexagonale dont le signa-taire était très proche alors que l’objet de l’as-sociation était l’aide à une maladie rare dansles pays émergents.Le même montage, plus subtil, a été identifiéen de multiples occasions mais camoufléderrière des sociétés liées, des intermédiaireset des fausses factures. Le montage est « sorti »du périmètre du contrôle interne direct.Le dernier, tout aussi classique, souvent iden-tifié dans l’environnement de structuresdédiées à la recherche, est établi dans le but des’approprier les gains de la recherche financéepar les dons par la création d’une structuredéveloppant ces produits et qui aurait, si l’onn’y avait pris garde, déposé les brevets ouvrantdroit à des royalties. Les dirigeants d’une asso-ciation commerciale ont aussi été condamnéspour avoir reçu à titre personnel des commis-sions sur le chiffre d’affaires réalisé par unfournisseur qui traitait les dossiers de l’asso-ciation.

• Le détournement d’actifs immobiliers :Quelques opérations impactent l’actif immo-

29



bilier et, à travers des chaînages de sociétésciviles immobilières, permettent à des diri-geants pervertis de s’approprier les immeublesfinancés par le public ou les subventions.

• Et pour terminer, un montage très fréquent,très connu, revient à détourner la prise encharge fiscale des dons. Prenons le cas danslequel un donateur verse 50 000 euros, ilobtiendra une déduction fiscale évaluée à30 000 euros, reste donc à sa charge 20 000euros. Du fait de ses liens personnels tout ou partiedes 20 000 euros sont reversés en espèces aubénéficiaire sous la forme de voyages, deremboursements de repas ou plus simplementd’espèces.On relève aussi l’importance de liens familiauxentre certains dirigeants de petites associations

et des entreprises qui travaillent pour cesdernières. Ainsi on a constaté la constructiond’un site web, facturé plus de 100 000 euros etqui n’a jamais fonctionné. La société presta-taire était la propriété du fils de la présidentede l’association.

Donc, pour un auditeur qui connaît l’existencede ces montages (savoir ce que l’on cherche), cesconflits peuvent modifier grandement la lecturequ’il aura des processus mis en place et des fluxqui transitent ou pas dans les comptes divers.Il est vrai que la recherche des conflits d’intérêtsdans le milieu associatif comme dans les autresest sans doute l’un des exercices les plus difficilesqui existe, mais c’est aussi là que gît le risque leplus important car il a un impact direct surl’image de l’association.

1. Réflexions ou sentences et maximes morales, 1664

2. Associations et fondations.

3. Le conflit d’intérêts est placé à l’intersection entre l’éthique (terme d’origine grecque) et la morale (terme d’origine latine). Lamorale se rapproche du droit car une obligation en résulte, l’éthique est tirée d’une lecture personnelle de ce qu’on pense être lebien. Les deux, et c’est ce qui nous intéresse, touche à l’organisation de la société.

4. Ces chiffres sont évidemment discutables mais dessinent simplement un cadre de réflexion.

5. Voir sur ce point « l'association différentielle » exposée par Sutherland, une théorie criminologique expliquant les « crimes en colblanc ».

6. En effet, un agent royal ne pouvait, à peine de sanction grave, accepter comme cadeau, en liquide évidemment, (« in vino veri-tas »), plus qu’il n’en pouvait consommer dans une journée. Un auditeur royal du 14ème siècle aurait dû évaluer la capacité d’im-prégnation journalière de chacun des intéressés et la comparer avec le nombre de cruches reçues, rien d’autre qu’un contrôle destock en somme.

7. L’entretien de Guy Leonetti dans la revue « Audit & Contrôle internes » n° 202 est exemplaire sur ce point.

8. La définition du conflit d’intérêts dans les NPAI (Normes Professionnelles de l’Audit Interne - applicables au 1er janvier 2009) est lasuivante : « Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui jouit d’une position deconfiance, a un intérêt personnel ou professionnel venant en concurrence avec ses devoirs et responsabilités. De tels intérêtspeuvent empêcher l’auditeur d’exercer ses responsabilités de façon impartiale. Un conflit d’intérêt peut exister même si aucunacte contraire à l’éthique ou malhonnête n’a été commis. Un conflit d’intérêt peut créer une situation susceptible d’entamer laconfiance de l’auditeur interne, au service d’audit interne et en la profession. Un conflit d’intérêt peut compromettre la capacitéd’un individu à conduire ses activités et à exercer ses responsabilités de manière objective. »

9. Nous vous renvoyons à l’article de Noël Pons et Valérie Berche paru dans la revue Audit Interne n° 185.

10. S’agissant des associations dont l’activité principale est l’exécution de travaux, la prestation de services ou de fournitures pour lecompte ou sous le contrôle de l’État, d’une collectivité ou d’un établissement public ou d’une entreprise nationale ou d’un Étatétranger.

11. Pour toute responsabilité associative donnant à son titulaire un intérêt direct ou indirect à l’activité des aéroports.

12. Cass. Com., 1er octobre 1996 : RJDA 1/97 no 65, solution retenue en matière de société et transposable aux associations.

13. Rép. Lebas : AN 3-4-1969, p. 870, transposable aux associations.

14. CA Versailles, 28 septembre 1989 : Bull. Joly, 1989, p. 992, paragraphe 340, note Jeantin.

30

DOSSIER


L'éthique, rempart suffisantpour prévenir et réduireles abus et la fraude dansles organisations ?

Dans l’édition n°3, avril-juin 2010, de l’Auditeur Fran-cophone – la lettre d’information trimestrielle del’Union Francophone de l’Audit Interne (UFAI) – j’in-vitais les auditeurs à s’approprier le questionnaireéthique proposé pour mieux comprendre et mieuxgérer les risques éthiques dans les entreprises et leursenvironnements. Ce questionnaire d’auto-évalua-tion a été utilisé avec succès dans différentes organi-sations au Québec comme outil de sensibilisation etde formation en éthique. Le questionnaire permetdonc de faire un bilan santé éthique de l’entreprise.

Dans cette continuité et pour aller encore plus loinsur le sujet, j’aimerais vous proposer cet article surl’éthique et la fraude, et l’importance pour l’entreprise

d’intégrer des règles d’éthique dans la prise de décision dans les différentes sphères d’acti-vités. L’éthique intégrée aux valeurs de l’entreprise constitue, selon moi, un rempart efficacepour contrer les abus et les dérives dans les organisations privées ou publiques. La fraude,les irrégularités, les manquements à l’éthique et les bris de confidentialité peuvent engendrerdes coûts importants, voire même catastrophiques. Ils peuvent également miner pourtoujours la crédibilité des institutions et de leurs dirigeants.

Yves Bilodeau

auditeur interne retraité,ancien administrateur de l’IIA Québec

(1995-2004) et ancien président de l’IIAQuébec (1998-1999)

31



La fraude dans les organisations, mythe ouréalité ? Sommes-nous ou serons-nousvictimes de ce fléau ? Qu'en est-il exac-

tement ? Que pouvons-nous faire, commeadministrateur, comme auditeur, vérificateur,pour aider à contrer cette menace pour l'écono-mie ? Introduire des règles d'éthique, de bonneconduite et d'intégrité dans l'entreprise, cela est-il suffisant ?

D'entrée de jeu, mentionnons que la presseécrite et électronique nous rapportent quotidien-nement des faits, des événements concernant lephénomène de la « fraude » qui prend sans cessede l'ampleur sur le plan mondial. Les entreprisesprivées et publiques en sont les victimes régu-lièrement. Des études sérieuses effectuées pardes cabinets de conseil réputés nous révèlentque des milliards de dollars sont perdus chaqueannée à cause des abus, de la fraude et d'irrégu-larités de toutes sortes.

Cette situation inquiétante trouve souvent sonexplication dans l'absence de mesures deprévention et de détection efficaces dans lesorganisations. La réduction des effectifs, lescontraintes budgétaires, la mondialisation, l'in-formatisation des échanges, le contexte écono-mique difficile, les pertes d'emplois au chapitrede l'encadrement, le laxisme, la détérioration desvaleurs sociales, la culture de l'entreprise et lesmoyens de plus en plus raffinés des fraudeursconstituent en quelque sorte les autres causes decette réalité de plus en plus préoccupante.

Les fraudes envers l'État, le détournement d'ac-tifs, l'intrusion illégale dans les systèmes d'infor-mation, les commissions secrètes, l'appro-priation illégitime des fonds, le blanchimentd'argent et la contrefaçon sont également descrimes qui revêtent un caractère d'importancepartout dans le monde. Ils causent des impactstrès défavorables sur le plan de l'image et de laviabilité des entreprises. Le traitement de ces

dossiers devient de plus en plus complexe parceque les ressources pour lutter contre ces crimessont rares et que les criminels, de plus en plusinstruits, se spécialisent et se mondialisent.

Devant ce portrait peu reluisant de la situation,comment les vérificateurs ou les auditeursinternes peuvent-ils aider à détecter et contrerce phénomène de la fraude et permettre ainsiaux organisations d'être en contrôle sur cesrisques de plus en plus présents ?

Rôle de l'auditeur interne faceà la fraude

Pour répondre à cette question, il convient dementionner qu'avant tout l'auditeur interne joueun rôle de conseil auprès de la direction. Sesfonctions l'amènent, entre autres, à jeter unregard objectif et indépendant sur les différentesactivités et les processus opérationnels de l'or-ganisation. Il examine également la permanenceet l'efficacité des mesures de contrôle en place.En exécutant son travail, il a le souci constant des'assurer que les différents acteurs de l'entrepriseatteignent les objectifs fixés au plan stratégiqueet qu'ils remplissent leur mission avec efficacité,efficience et économie, à la grande satisfactiondes clients, des partenaires, des actionnaires oudes contribuables le cas échéant.

Dans l'exercice de ses fonctions, l'auditeurinterne doit faire preuve de conscience profes-sionnelle comme il est mentionné dans lesNormes pour la pratique professionnelle de l'au-dit interne (IIA). C'est en s'appuyant sur cette« manière d'être » et en agissant avec diligencedans ses travaux qu'il permettra, notamment parsa contribution, à réduire les risques de fraude,de dérives et d’irrégularités.

L'auditeur interne compétent et dévoué à l'or-ganisation va être capable de reconnaître leséléments « red flags » constituant un risque ainsi

32

DOSSIER


que les signes de fraude dans son organisation.Pour citer quelques exemples, mentionnons qu'ilsera très vigilant si l'entreprise est sous l’autoritéd’un seul membre de direction ou que desmembres de la direction affichent toujours desattitudes hostiles envers les concurrents, la clien-tèle et même le personnel. Il sera égalementattentif aux rumeurs portant sur l'environne-ment de travail : l’insatisfaction, la déloyauté, leharcèlement psychologique, le moral et la moti-vation du personnel de base.

D'autre part, l'auditeur interne perspicace détec-tera facilement si la planification opérationnelleet financière est discutable, et s'il y a desmanquements et des déficits de caisses récur-rents malgré les prévisions optimistes. Il sauradétecter les problèmes s'il constate une rotationinhabituelle du personnel de contrôle ou degestion.

L’auditeur interne portera une attention particu-lière sur le respect des principes comptables, surl'historique des pertes, sur la fluctuation anor-male des revenus et des dépenses et sur les vire-ments de fonds importants aux actionnairesL'auditeur interne devra s'intéresser aux traite-ments des plaintes des employés, des clients etdes fournisseurs. Il devra regarder combien delitiges ou de réclamations sont non réglés et quelen est le coût ? Il s'intéressera également auxdiverses inobservations des lois et des règle-ments des organismes de contrôle ou de régle-mentation. Il devra regarder, dans la mesure dupossible, si des membres du personnel semblentmener un gros train de vie par rapport auxsalaires payés.

Son champ d'activité de vérification est trèsvaste. Que l'on songe aux accès dans lessystèmes d'information, à l’augmentation desdépenses au chapitre des communications télé-phoniques et autres, au secteur des inventaires,des achats et ventes, de la liquidité, des

encaisses, aux écritures d'ajustement accrues enfin d'exercice, de l'utilisation des marges decrédit, de la surévaluation ou la sous-évaluationdes actifs et de la suppression ou modificationde pièces comptables ou justificatives. Bref,autant d'éléments où il est souhaitable d'y voirde plus près dans le but d'y déceler des indicesde fraudes ou d’irrégularités.

Il évaluera, selon le cadre de référence choisi, lapertinence et l'efficacité du système de contrôleinterne compte tenu des risques spécifiques àchaque fonction ou métier exercé dans l'entre-prise. Suite à ses constats et sondages, il varecommander des améliorations aux systèmesde contrôle existant, surtout dans le domained'activités à risques élevés. Il interviendra aveccompétence si des indices lui permettent decroire qu'il y a des fraudes ou des irrégularités. Ildevra s'entourer de compétences diverses pourenquêter sur ce phénomène, après en avoir, biensûr, avisé les autorités et obtenu un mandat clairet précis sur cet aspect particulier.

D'autre part, et c'est là qu'il joue, à mon avis, unrôle capital en regard de la prévention et de ladétection de la fraude, il doit s'assurer de l'exis-tence au sein de l'entreprise des règles écritesconcernant les activités et les comportementsdéfendus. Ces règles peuvent prendre l'aspectd'une directive, d'un code d'éthique ou de déon-tologie, d'une procédure, d'un règlement écrit outoute autre forme. L'auditeur interne doit doncprendre ces précautions dans l'évaluation desrisques.

Il doit s'assurer également que la notion decontrôle est introduite et bien comprise danstoute l'organisation. Il doit véhiculer, au mêmetitre que la haute direction, que la responsabilitéde la détection et de la prévention de la fraudeest une affaire de tous les collaborateurs. On yvoit donc là également un rôle d'importancepour le contrôle hiérarchique.

33



Gardons à l'esprit qu'une culture de gestion quidécourage les déviances et les manquements àl'éthique et qui supporte les personnes quidénoncent ces situations, constitue un gage deconfiance envers ceux qui la dirigent. Elle amèneégalement un respect des partenaires, uneconfiance des bailleurs de fonds, des contribua-bles et assure en bout de piste la survie de l'en-treprise. Les profits et l’éthique sont loin d’êtrecontradictoires !

Fort de cet énoncé, l'auditeur interne, dans sesefforts de contribution pour contrer et réduire lafraude, va notamment inviter fortement les diri-geants à faire la promotion de l'éthique dansl'organisation. Il va suggérer la rédaction et ladiffusion d'un code. Il va également favoriserla formation du personnel à la gestion durisque (on y voit le rôle de l'auto-contrôle) ; ilva suggérer la rédaction et l'approbation d'unepolitique sur la détection, la prévention et l'en-quête sur la fraude. Si l'auditeur interne s'engagedans une démarche d'enquête, on pourra quali-fier cette démarche de suite à l'auto-contrôle.Nous verrons un peu plus loin, quels en sont lesrisques pour l'auditeur interne. J'ai personnelle-ment vécu ce type d'expérience très dérangeantepour l’organisation.

Il recommandera également à ce que l'organisa-tion adopte une politique d'embauche efficace,établisse un mécanisme de dénonciation desabus, des fraudes, des irrégularités et gaspillageset adopte aussi une directive ou une politique surla responsabilisation. L'expérience nous démon-tre à ce titre que, lorsque l'on découvre unefraude, il est souvent difficile d'imputer uneresponsabilité au gestionnaire responsable dusecteur de l'activité visée.

Ces directives et ces politiques doivent être diffu-sées et expliquées à tout le personnel. Finale-ment, l'auditeur interne devra être vigilantauprès de la haute direction et convaincre celle-

ci de toujours maintenir une équipe permanenteet compétente d'auditeurs internes (question des'assurer de la permanence des contrôles et dela gestion des risques).

L'éthique intégrée aux valeursde l’entreprise

Avant d'aborder la question de savoir si l'audi-teur interne doit aller plus loin dans sa démarchepour contrer la fraude, il serait opportun de trai-ter de la notion de l'éthique et de l'obligation defaire la promotion de l'éthique dans l'organisa-tion. Il faut revenir constamment sur cette ques-tion. Il est primordial de bien situer cette notion.

Il faut aller au delà de la définition que l'onretrouve dans les dictionnaires pour encomprendre véritablement le sens. L'éthiquec'est en quelque sorte « une manière d'être », dese comporter face aux diverses situations problé-matiques présentes dans l'entreprise et des déci-sions que nous devons prendre tous les jours.

L'éthique interpelle nos valeurs, notre jugementet notre sens des responsabilités. Nous sommessouvent confrontés à des situations où il estparfois difficile de prendre une décision, selonque nous sommes guidés par des normes quali-tatives ou quantitatives de résultats.

Pour illustrer ces énoncés dans un milieu detravail, mentionnons qu'il existe plusieurs situa-tions où une personne peut se sentir tirailléedans sa décision. La personne doit choisir entrel'intérêt de la collectivité, celle d'autrui et sonintérêt propre ? Des questions se posent. Doit-elle agir avec transparence, impartialité et équitéou penser à elle en termes de plan de carrière,de traitement meilleur ? Doit-elle agir selon lesbesoins de l'organisation ou ses besoinspropres ? Doit-elle choisir d'appliquer les règle-ments en vigueur dans l'entreprise ou défendreune cause humanitaire vu son appartenance à

34

DOSSIER


un groupement ou à une corporation profes-sionnelle ? Doit-elle choisir entre des valeursfondamentales (qualité du service) ou descontraintes fonctionnelles (les coupures budgé-taires) ?

Chose certaine, la personne avant de prendre sadécision doit avoir évalué si la décision envisagéeenfreint la loi ou est contraire au code deconduite de l'entreprise. Elle doit évaluer si sadécision ne causera pas de préjudice aux clientset au personnel de l'organisation. Elle doit aussise demander si elle serait à l'aise de devoir justi-fier sa décision, devant les clients, ses supérieurs,sa famille et les médias.Idéalement, l'adoption et la diffusion d'un coded'éthique propre aux caractéristiques de l'entre-prise devrait normalement suffire pour guider lespersonnes dans leurs prises de décision. Parcontre, il faut qu'il soit respecté.

En matière de prévention et de détection de lafraude, il faut inéluctablement promouvoir lerespect de l'éthique dans l'organisation. En plusd'avoir des règles d'éthique, la haute directiondoit servir d'exemple, amorcer la démarche enincluant dans le plan stratégique de l'entreprisecette préoccupation de l'éthique et des valeursde l'organisation. Également, la direction doitgérer rapidement et fermement les problèmesd'éthique dans le but de diffuser un messageclair et précis au personnel. La direction doitdonner l'exemple du respect des règles d'éthiquede l'organisation.

Un programme bien défini sur l'éthique et lesvaleurs est, sans contredit, la première et la plusimportante ligne de défense pour contrer lafraude. C’est un rempart solide contre lesdérives.

Mon expérience dans l'entreprise publique a étérévélatrice des failles importantes en matière

d'éthique, occasionnées par le manque de senti-ment d'appartenance du personnel à l'organisa-tion, au laxisme administratif, au climat decompétition qui sévissait, aux pressions dutemps et aux attentes exclusivement quantita-tives et, finalement, aux changements organisa-tionnels rapides et fréquents.

Pour terminer ce volet sur l'éthique, rappelonsque l'enjeu de la décision éthique est laconfiance du public et des actionnaires envers lesentreprises et les institutions et que cette déci-sion éthique se joue tant sur la collectivité quesur l'organisation et la personne.

Aller plus loin pour l'auditeurinterne, un risque calculé

Fort de toutes ces informations, l'auditeurinterne doit-il aller plus loin dans la détection, laprévention et l'enquête sur la fraude ou doit-ilse limiter à la vérification de l'existence et de l'ef-ficacité des mesures de contrôle ? Pour l'auditeurinterne, cette question revêt certaines interroga-tions et difficultés surtout s'il n'est pas bienpréparé. Les normes professionnelles de l’IIA,qui traitent de la compétence des auditeursinternes, traduisent bien le rôle et les responsa-bilités en cette matière. Il est donc sage d'enprendre connaissance avant d'amorcer cettedémarche.

Il ne faut pas oublier un point important, l'audi-teur interne sera-t-il perçu comme un gendarmeou un conseiller dans l'organisation, suite à unedémarche d'enquête ? Il y a donc un risque à ceniveau. S'il sait bien composer avec les gens etque leur confiance est acquise, il saura bien navi-guer dans ces vagues de changement.

Mon expérience dans ce milieu me dicte qu'ilfaut être prudent, voire même très prudent ensemblable matière. Il faut savoir que l'auditeur

35



interne, du moins au Canada, n'est pas protégépar une loi contre les poursuites éventuelles quirésulteraient de l’atteinte à la réputation ou depréjudices subis par les personnes visées par sestravaux. Même s'il réalise ses travaux à partird'un mandat clair et précis de la direction, etqu’il a l’appui de son supérieur, la prudence etson code d'éthique lui suggèrent de consulterdes professionnels et des juristes compétents. Ilpeut être accompagné par un enquêteur indé-pendant pour assurer la plus grande transpa-rence possible. L'auditeur qui s'aventure dans ledomaine de l'enquête doit savoir traiter de façonadéquate l'information reçue.

La démarche n'est pas toujours facile, il doit tenircompte de l'environnement juridique, des règlesen vigueur, des droits des personnes, du traite-ment des renseignements confidentiels. La stra-tégie d'enquête et de communication n'est pascelle utilisée dans une démarche d'évaluationd'activité opérationnelle. Il devra égalementétablir la valeur de la perte pour l'entreprise, afinde présenter une réclamation aux assureurs etaux intimés.

Afin d'éviter des faux pas et de risquer de mettreen péril sa démarche, il doit avoir une très bonneconnaissance de ce qui constitue une fraude,connaître les façons d'obtenir une preuve,maîtriser la procédure de classement et deconservation des documents, savoir présenter ledossier devant les autorités, les procureurs, lesintimés et le tribunal. On attendra de lui qu'ilexcelle comme témoin devant les tribunaux dutravail, des commissions d'enquête et des tribu-naux judiciaires en matières civiles ou crimi-nelles.

Ma grande expérience en cette matière suggèrede ne pas s'aventurer dans ce secteur difficile,sensible, délicat et passionnant, sans une prépa-ration ou un accompagnement de personnes

compétentes. Les séminaires de formationaident les auditeurs internes à mieux cerner lesproblèmes d'éthique, les techniques d'enquêteet de vérification, à apprendre les concepts et lesfondements de la fraude et à mieux réussir dansce genre d'activité.

* **

A la lumière des informations présentées danscet article portant sur l'éthique et le rôle de l'au-diteur interne dans la prévention et la détectionde la fraude, il ne fait aucun doute dans monesprit que l'instauration, la diffusion et le respectd'un code d'éthique et de valeurs constituent unrempart ou un bouclier efficace pour prévenir,diminuer le phénomène de fraude. L'éthique seveut en quelque sorte une zone de libertéheureuse et rentable tant pour la personne quepour l'organisation.

La personne qui adhère à un idéal de servicepour son client, se sent plus utile et plus appré-ciée. L'organisation y sort elle aussi gagnantepuisqu'elle devient plus efficace à mesure queson personnel se sent apprécié, heureux, motivéet autonome. L'entreprise qui est éthique,soutient publiquement ses employés, leurprodigue de la confiance et les clients et fournis-seurs le sentent aussi.

La fonction d'audit interne n'est aucunementmise en danger dans une entreprise qui estéthique, au contraire, cette fonction se valorisedavantage et se rapproche de plus en plus versune fonction de conseil, d'aide à la direction etaux diverses clientèles. Les économies réaliséessur les frais de surveillance peuvent être investiesdans la formation et le développement dupersonnel d'audit ou de la recherche en vue del'amélioration continue des processus d'affairesoù l'auditeur peut jouer un rôle important.

36

DOSSIER


Politique et programmede prévention dela corruption de Total

La lutte contre la corruption et la mise enplace des mesures de prévention se sontdéroulées en trois étapes.

1977 : Avec le Foreign Corrupt Practices Act(FCPA), les Etats-Unis se dotent d’une loi d’ap-plication extraterritoriale sanctionnant les entre-prises américaines, mais aussi les sociétésétrangères cotées à la Bourse de New York, pourles faits de corruption d’agents publics étrangers.En vertu de cette loi le ministère de la Justice

Depuis bientôt trente-cinq ans, les Etatsmultiplient les dispositions visant à luttercontre toutes les formes de corruption. Lacorruption doit être éradiquée, et il appar-tient aux organisations de mettre en placedes garde-fous efficaces. Le groupe Totaldéveloppe depuis plus d’un an une poli-tique et un programme d’intégrité axé surle principe de la tolérance zéro en matièrede fraude et de corruption et sur une obli-gation de vigilance accrue. Un telprogramme implique une organisation trèsélaborée.

Jean-Pierre Audoin

Directeur Conformité et Responsabilité Sociétale,responsable Conformité Groupe

Total S.A.

Docteur en droit, Jean-Pierre Audoin acommencé sa carrière à la direction RisquesAssurances et à la direction Financière d’ElfAquitaine. Il occupera successivement les postesde directeur administratif et financier de la raffi-nerie du Congo (CORAF), chef du départementAfrique de la direction juridique d’Elf Exploita-tion Production, directeur juridique d’Elf Exploi-tation Production puis de la brancheExploitation Production de Total. Il occupedepuis 2010 les fonctions de directeur Confor-mité et Responsabilité Sociétale de Total et deresponsable de la conformité du groupe.

© Document Total (Marco Dufour)

37



poursuivra les sociétés passibles de sanctionspénales, la SEC veillera à la transcription dans lacomptabilité des entreprises de la réalité desopérations enregistrées, sans tricherie, pour uneinformation exacte des actionnaires.

1997 : les Etats membres de l’OCDE adoptentune convention d’inspiration semblable, dont lesprincipes seront transposés dans les ordres légis-latifs internes avec plus ou moins de sévérité.

2005 : la Convention des Nations Unies contrela corruption (Convention de Mérida) interdittoute forme de corruption, directe ou indirecte,active ou passive, publique ou privée. Laboucle est fermée.

La conséquence en est que lesEtats, qui ont déjà des légis-lations interdisant lacorruption de leurs fonc-tionnaires, élargissentprogressivement, sur lefond et dans l’espace, lechamp d’application de leurslois en la matière pour réprimertoute forme de corruption. Il en vaainsi de la France, avec les lois du 30 juin 2000et du 13 novembre 2007, et de la GrandeBretagne dont le UK Bribery Act doit prochaine-ment entrer en vigueur.

La corruption n’est donc pas acceptable, mora-lement et juridiquement. Désormais, les lois sontclaires et certaines autorités et juridictions sontbien déterminées à en assurer le strict respect.Les sanctions sont lourdes. Aux termes des plusrécentes transactions avec le ministère de laJustice US, des groupes industriels ont payé desamendes chiffrées en dizaines ou centaines demillions de dollars, des dirigeants de sociétés ontdû quitter leurs fonctions, voire subir des peinesde prison ; certains groupes ont dû modifier leur

organisation et leurs méthodes, parfois sous l’œilet la direction d’un « monitor » imposé. D’au-cuns se sont vu interdire l’accès aux marchéspublics, d’autres ont dû renoncer d’eux-mêmesà leur activité lorsqu’elle était jugée trop risquéedans certains pays.

Dans un tel contexte, nombre de sociétés ontchoisi de prévenir le risque, dans une optique etavec des moyens que l’on peut comparer à ceuxmis en place en matière de sécurité industrielle.Dans le groupe Total, le Code de conduite et laCharte d’éthique émis en 2000 ont été lespremiers supports de l’affirmation de la volonté

de développer une démarche nouvelle en lamatière. L’émission d’un guide

pratique de l’intégrité puis lacréation d’une direction de laConformité et de la Respon-sabilité sociétale au sein dela direction juridique dugroupe ont été des jalonssupplémentaires.

Les années 2010 et 2011marquent une progression signi-

ficative. Sur décision du Comitéexécutif, le groupe développe une politique et

un programme d’intégrité axé à la fois sur leprincipe de la « tolérance zéro » en matière defraude et de corruption et sur une obligation devigilance accrue. En renforçant et en structurantson dispositif de prévention de la corruption,Total entend figurer parmi les grandes entre-prises internationales dotées d’un système deconformité solide devant permettre de résisterefficacement aux sollicitations et d’opérer defaçon transparente.

Un tel programme repose sur la mise en placed’une organisation idoine, l’élaboration et lamise en œuvre d’un référentiel interne spéci-fique, des actions de sensibilisation et de forma-

« De par ses activitésparticulièrement risquées,le groupe a fait de la lutte

contre la fraude et lacorruption l’une de ses

priorités »

38

DOSSIER


tion d’envergure, un contrôle permanent avectraçabilité des opérations.

Un responsable de conformité du groupe(« Chief Compliance Officer ») et des responsablesde conformité pour chacune des branches d’ac-tivités (« Branch Compliance Officers ») animent àplein temps un réseau de plus de trois centspersonnes désignées dans les filiales et grandsprojets pour veiller à la mise en œuvre et aurespect des règles de la conformité anti-corrup-tion: les « compliance officers ». Pour autant, laconformité est l’affaire de tous et les complianceofficers ont pour mission essentielle de guider,avec en particulier le concours des juristes, lesopérationnels et les chargés d’affaires qui sedoivent de remplir les « due diligences » néces-saires avant de passer certains types de contrats.

Le référentiel mis en place (une directive spéci-fique accompagnée de procédures, des clausestype à insérer dans les contrats) définit les étapesà franchir avant de lier Total à un partenaire. Enparticulier, une recherche préliminaire, la duediligence, doit permettre de mieux connaître lasociété ou la personne avec laquelle une sociétédu groupe envisage de s’engager, qu’il s’agissed’un consultant, d’un associé dans une jointventure ou d’un fournisseur de biens ou deservices : la démarche est celle du risk assessmentet la finalité est d’éviter de prendre le risqued’être entraîné malgré soi dans un système decorruption. Ce même référentiel encadre égale-ment les opérations d’acquisitions de sociétés(aux termes de la loi américaine la société ache-teuse hérite du passif pénal de la société acquise)ainsi que les dons, les cadeaux, les prises encharge d’invités, les mécénats et toutes autresdémarches susceptibles de dérives.

Pour être efficace, un tel programme doit êtreconnu et compris. Une campagne d’informationet de sensibilisation utilisant les media internes

a permis de créer l’effet de curiosité et d’intérêtrecherché. Interviews vidéo et écrites de la direc-tion générale, affiches dans les halls des bâti-ments et bandeaux sur les écrans de l’intranetont été vus et commentés. En outre, unprogramme d’e-learning d’une heure sur laprévention de la corruption est lancé en onzelangues à l’intention de l’ensemble des quelquecent mille employés du groupe répartis danscent trente pays et plus particulièrement despopulations professionnelles les plus exposéesau risque de corruption (via l’intranet ou par lemoyen de CD-Rom).

A cela s’ajoute un ambitieux programme deformation des compliance officers, en interne et àl’extérieur. Déjà plusieurs sessions de formationont permis en quelques semaines de créer undialogue riche avec la plus grande partie d’entreeux. Sans compter nombre de participants demétiers divers, juristes, financiers, acheteursnotamment, particulièrement intéressés par lesujet. Par ailleurs, des discussions sont en coursentre Total, l’IFACI et l’ESCP en vue de créer unmodule d’enseignements qui pourrait s’inscriredans le cadre de la chaire du contrôle interne etserait ouvert aux étudiants et aux professionnelsintéressés, compliance officers et autres.

Il s’agit pour Total de se prémunir et de protégermieux encore ses collaborateurs. De par ses acti-vités particulièrement risquées, et sa présencedans le monde entier, le groupe a fait de la luttecontre la fraude et la corruption l’une de sespriorités. Il se donne aujourd’hui les moyens dedétecter plus efficacement les situations à risqueet d’éviter ainsi de se mettre ou d’être mis ensituation délicate.


INTERNATIONAL

Les challengesde l’audit interneaujourd’hui et demain

Richard Chambers note tout d’abord quela majeure partie de la dernière décennie(en Amérique du Nord principalement

mais aussi au Japon et même en Europe) a étémarquée par des inquiétudes portant sur lafraude financière, la fiabilité des données finan-cières et l’efficacité des contrôles financiers. En2006, 75% des entreprises Fortune 500d’Amérique du Nord consacraient plus de lamoitié de leur temps uniquement à des testsSarbanes-Oxley.Durant cette période, la plupart des servicesd’audit interne ont connu des augmentationssubstantielles de leur budget et de leur person-nel. Mais ensuite, la crise économique mondialea complètement modifié le paysage de l’auditinterne.

Cinq réussites sont à mettre àl’actif de ces dernières années

• L’audit interne a aidé les organisations àbien appréhender les exigences desnouvelles législations et réglementations,par exemple le Sarbanes-Oxley Act de 2002aux Etats-Unis.

Le 22 octobre 2010, Richard Chambers, Président/CEO de l’IIA, a bien voulu nous donner, au

cours d’un petit-déjeuner débat, sa vision de l’audit interne aujourd’hui et demain.

Le texte de son intervention a été mis en ligne sur le site internet de l’IFACI en version originale

et avec sa traduction française. Vous trouverez, ci-dessous, les points essentiels de son exposé

et vous pourrez constater que la conception de l’audit interne de l’IIA (en fait celle des Etats-

Unis) s’est rapprochée sur bien des points de celle que l’IFACI défend depuis de longues

années.

Richard ChambersPrésident / CEO, IIA (The Institute of Internal Auditors)

En France, ce fut également le cas vis-à-vis de la Loi deSécurité Financière de 2003, comme d’ailleurs à l’égardde la Loi du 3 juillet 2008 transposant les 4e et 7e direc-tives ou de l’ordonnance du 8 décembre 2008 transpo-sant la 8e directive.

40 Audit & Contrôle internes n°204 - avril 2011

INTERNATIONAL

• L’approche par les risques est devenue lefondement même de l’audit interne. Nousavons amélioré notre expertise en matière degestion des risques, notre compréhension durisque et notre manière d’aborder les risques.Aujourd’hui, près de 80 % des services d’auditinterne du monde font une évaluation desrisques et fondent leur plan d’audit sur cetteévaluation. Nous devons nous efforcer detoujours mieux appréhender la gestion desrisques. La crise économique actuelle a prouvéque des risques à impact élevé, mais à proba-bilité relativement faible, finissent par se réali-ser, avec des conséquences dévastatrices pourles organisations.

• L’audit interne a commencé à devenir unvivier de nouveaux talents pour les organi-sations. Dans les années 80 et 90, l’auditinterne restait considéré comme une profes-sion où l’on entrait, mais dont on ne sortaitpas. On devenait auditeur interne et on imagi-nait passer toute sa carrière dans l’auditinterne. Il reste encore beaucoup d’auditeursinternes de carrière. Mais il y a aussi denombreux professionnels de l’audit interneaujourd’hui qui ne font que passer et on leurfait des promesses comme « vous ne resterez quetrois ans à l’audit interne, ensuite vous aurez unbon poste dans l’entreprise ». Je pense qu’en tantque professionnels de l’audit interne, nousdevons adopter ce modèle et non y résister. Jecrois que nous devons reconnaître que cemodèle crée réellement de la valeur. Cetteévolution a été essentielle et globalementpositive au cours de la décennie écoulée.

• Les missions d’audit se sont diversifiées.Focalisé sur les contrôles financiers jusqu’en2008, l’audit interne a su se réorienter etretrouver une vision plus large des risquesmenaçant les organisations.

• L’importance de l’assurance qualité a étémise en lumière. Nous avons une nouvellenorme obligeant à effectuer une évaluation dela qualité au moins tous les 5 ans. Je crois quepersonnellement 5 ans est un maximum et quela pratique de pointe est d’évaluer la qualitéplus fréquemment. Je sais que l’IFACI fait untravail pionnier pour ces évaluations et jel’en félicite.

Les défis de l’audit interne

• Adapter les missions d’audit pour répon-dre aux attentes des parties prenantes.La valeur de l’audit interne dépend de laconfiance que lui témoignent le comité d’auditet la direction générale. Si vous vous concen-trez sur des domaines et des risques qu’ils neconsidèrent pas comme importants, vouspouvez vous consoler en vous disant que vousavez fait votre devoir, mais ce n’est pas cela quivous sauvera à long terme. Vous devez doncvous adapter en permanence et je pense quec’est ce que l’on voit en ce moment.

• Acquérir les compétences nécessaires pourrépondre à ces attentes.

• Jouer pleinement notre rôle dans l’évalua-tion du processus de management desrisques.On doit être capable de comprendre commentles risques affectent l’entreprise. En tant qu'au-diteur interne ou en tant que directeur de l'au-dit interne, on doit être capable de comprendrecomment les risques affectent l'entreprise,quel rôle l'audit interne joue dans la gestiondes risques, et comment on peut utiliser l'éva-luation des risques et plus globalement lagestion des risques, dans la stratégie d'audit. Je pense que nous devons continuer à progres-ser dans cette direction dans la décennie quivient car nos entreprises vont devenir bien


plus sophistiquées dans le domaine de lagestion des risques. Si nous ne sommes pascapables de fournir des informations perti-nentes et des garanties sur l'efficacité de lagestion des risques, nous serons bientôtdépassés dans ce domaine essentiel. Nousassistons à l'émergence de la gestion desrisques pratiquement comme disciplineautonome, une discipline qui, si elle nemenace pas réellement l'audit interne, esttout de même sa rivale en termes du typed'informations fournies à l'organisation. Jeconseille à tous ceux qui considèrent leresponsable de la gestion des risquescomme la source d'informationsultime de bien regarder l'ex-pression gestion desrisques. Il s'agit degestion, ce qui signifieévidemment que si leconseil d'administra-tion n'écoute que lesresponsables de lagestion des risques, il secontente de la gestion, àsavoir l'efficacité avec laquelleles risques sont gérés. Je pense quece sont là tous les ingrédients de futursdésastres potentiels. En tant que professionnel de l'audit interne, ilfaut pouvoir reconnaître l'émergence d'unrival au sein de l'entreprise, rival qui fournirades informations et se présentera comme lasource d'informations ultime sur la gestion desrisques. Vous devez le reconnaître et y répon-dre de manière adaptée. Dans certains cas, j'aiconstaté que l'audit interne est placé sous laresponsabilité directe du directeur chargé desrisques, et j'ai vu le directeur chargé desrisques dire au DAI : « Je vais vous donner l'éva-luation des risques de l'entreprise, construisezvotre plan d'audit à partir de là ». Le directeurde l'audit interne répond alors courageuse-

ment : « Non, je développerai ma propre évalua-tion des risques, et c'est sur elle que je baserai leplan d'audit. Nous pouvons coopérer et collaborer,mais je ne me laisserai pas dicter l'évaluation desrisques, et si c'est un problème, nous devons enparler au comité d'audit. » J'ai vu parfois des tensions commencer àapparaître. Je pense que la véritable opportu-nité est de collaborer avec nos collègues de lagestion des risques. Je pense que travaillerensemble à l'évaluation des risques del'entreprise est une pratique très efficace.Par exemple, lorsqu'il est nécessaire d'avoir desentretiens avec la direction de l'entreprise,

ceux-ci peuvent être faits en commun.Je pense que ce sont de bonnes

pratiques. Je ne veux pas que voussortiez de cette salle avec lesentiment que je dénigre lesspécialistes de la gestiondes risques. Je pense quenous devons prendre acte dufait qu'ils se développent très

rapidement, et que dans certainscas, ils se présentent comme la

source d'informations ultime sur l'effica-cité de la gestion des risques. Nous devons êtrevigilants à ce sujet.

• Ne pas hésiter à faire des missions deconseil.A la suite de l’affaire Enron, le consulting aconnu des moments difficiles. Il est temps deréévaluer le terme. Je pense que conseil est unmeilleur terme que consulting et nous devonsdésormais nous positionner comme conseil-lers du management, et ne pas avoir peur d'as-sister le management face aux défis les plusdifficiles. Depuis longtemps, le managementsupporte mal le fait que les auditeurs se tien-nent en retrait tant qu'il ne se passe rien, puisarrivent avec leurs baïonnettes pour achever

« L’approche parles risques est devenuele fondement mêmede l’audit interne »


INTERNATIONAL

les blessés. En tant qu'auditeurs, nous devonstenir compte du fait que nous sommes parfoisen position d'avoir un rôle de conseiller (aucours du processus de mise en place d'unnouveau système, par exemple) et d'apporterdes informations, en particulier lorsque descontrôles sont modifiés ou éliminés. Il ne fautpas attendre que ces contrôles aient étésupprimés et que les conséquences deviennentvisibles pour arriver et dire « Hum, vous avezcommis une erreur. » Cela ne nous rend paspopulaires auprès de quiconque dans l'entre-prise.

• Augmenter le rôle de l’audit interne dansla prévention et la détection des fraudes.A mesure que les pressions individuellesaugmentent, pour améliorer les résultats del’entreprise, plus on crée d’incitations àcommettre des fraudes, qu’elles soient finan-cières ou autres. La vigilance des auditeursinternes, en cette période de crise, doit doncêtre particulièrement forte.

• S’appuyer sur la technologie pour amélio-rer les performances de la direction de l’au-dit interne.

• Améliorer le processus de reporting desrapports d’audit en veillant à ne pas mettreplus de temps à les rédiger et à les transmettrequ’il en a été mis à réaliser la mission.

• Ne pas hésiter à intégrer dans une missiond’audit des experts de l’entreprise dans ledomaine sur lequel la mission va porter.

• Améliorer la coordination avec les fonc-tions proches de l’audit interne.Nous devons améliorer notre coordination etla communication avec ces fonctions. Il existesouvent des problèmes de territoire, deméfiance, de réticences à communiquer et à

coopérer, qui sont frustrants pour le comitéd'audit et les autres parties prenantes, parceque différents services peuvent leur donnerdes informations différentes. Il y a deux ans, dans une enquête effectuée parPricewaterhouseCoopers, nous avons posé desquestions sur les évaluations des risques et surle nombre d'évaluations des risques quiavaient lieu dans l'entreprise. Les résultatsindiquaient que dans beaucoup d'entreprises,de nombreuses évaluations des risques étaienteffectuées. J'ai vu des comités d'audit s'agacerlorsque le responsable des risques arrivait avecune évaluation des risques, et que le DAIsuivait avec une autre évaluation. Ensuite, l'au-diteur externe disait « Oh, non, ce ne sont pas lesvrais risques. Voilà les vrais risques. » Le comitéd'audit disait : « Bon, sortez tous, parlez ensemble,et essayez de revenir et de nous donner une imageunifiée des risques encourus par l'entreprise. »

• Démontrer l’engagement de l’audit interneen faveur du contrôle qualité en appliquantscrupuleusement la norme (1300) y afférente.Je pense que si beaucoup de services d'auditn'ont pas encore effectué d'évaluation externede la qualité, c'est notamment en raison desincertitudes liées au processus : la peur d'ef-fectuer le processus et d'apprendre qu'on n'est

L’IFA et l’IFACI recommandent que les relations de l’auditinterne avec les autres acteurs du contrôle internefassent l’objet d’une claire définition, par exemple, dansune charte dédiée à cet effet, dont les principales dispo-sitions pourraient être les suivantes :• l’audit interne participe aux comités de contrôle

interne ;• l’audit interne évalue les autres fonctions de maîtrise

des risques ;• l’audit interne conseille la direction générale pour l’ai-

der à mettre en place un urbanisme de contrôleinterne efficace.


pas en conformité avec une norme. Le DAI estsouvent inquiet de l'impression que celadonnerait au comité d'audit. Mais je vouspréviens, on ne peut pas échapper indéfini-ment à une évaluation de la qualité, car de plusen plus de comités d'audit comprennent quec'est une obligation.

Quelles compétences pourun directeur d’audit internequi réussit

• Avoir une bonne connaissance du « busi-ness » de son organisation.D’une manière générale, on peut dire que lesdirections d’audit interne qui réussissent sontcelles qui vont aller au-delà des attentes deleurs parties prenantes et qui développent desapproches nouvelles et innovantes dans lapratique de l’audit interne. Si vous regardez quels sont les domaines pourlesquels le périmètre de l’audit augmente,vous constaterez que ce n'est pas autour desconnaissances financières. Les entreprisesn'ont pas forcément besoin de disposeruniquement de personnes formées à la financeou à la comptabilité, car l'augmentation dupérimètre d’intervention porte sur les risquesopérationnels et de conformité, c'est-à-diresur les risques nécessitant une plus grandeconnaissance du secteur d’activité. Lorsqu’au sein de PricewaterhouseCoopers, jetravaillais sur des évaluations de la qualité degrandes entreprises aux Etats-Unis, j'entendaisle management se plaindre que « l'audit internene comprenait pas le métier. » Je crois que celadécoule du fait que les équipes d'audit interne,surtout aux Etats-Unis, étaient principalementcomposées de comptables et de personnessans expérience du secteur. J'ai un diplôme decomptabilité, donc il ne s'agit absolument pasde dénigrer les comptables, mais lorsque l'onpropulse subitement de jeunes auditeurs inex-

périmentés, dont la seule expérience a été detester des contrôles financiers, au beau milieudes opérationnels et qu'on leur demanded'évaluer l'efficacité de l'activité, le manage-ment s'arrache les cheveux ! Le managementse retrouve souvent à devoir expliquer sonactivité à un auditeur interne, pour s'entendrerépondre que ce n'est pas la meilleure manière

de faire. Je pense que nous avons tous entendule management se plaindre au cours de noscarrières, et nous devons donc avoir unecertaine compréhension de notre secteur d’ac-tivité.

• Disposer de bonnes connaissances enmatière de communication.C’est l’un des domaines dont notre professiona le plus souffert au début des années 2000,lorsque les responsables de l’audit interne ontentretenu des relations plus étroites avec lecomité d’audit. Beaucoup de responsables


INTERNATIONAL

d’audit interne avaient fait toute leur carrièredans l’audit interne, mais elle a été subitementinterrompue après les premiers contacts avecle comité d’audit.

Il n'était pas rare que le président du comitéd'audit se tourne vers le directeur financier oule PDG, à l'époque post-Sarbanes-Oxley, etdise : « C'est tout ce que vous avez à nous propo-ser ? » et, bien trop souvent, les DAI de carrièreont été remplacés par d'autres ayant plus de« doigté » et qui communiquaient plus effica-cement. Etait-ce juste ? Etait-ce équitable ? Jene sais pas. Je dirais que non, mais la vie n'estpas toujours juste. Donc si nous voulons réus-sir ou connaître le succès, nous ferions bien decomprendre comment communiquer avec effi-cacité, mais nous devons aussi savoir commentsynthétiser et transmettre l'information. Cedont les comités d'audit se plaignent le plusest : « L'audit interne nous envoie trop d'informa-tion. Nous aimerions qu'ils arrivent à communi-quer de manière plus synthétique et à relier lesinformations ».

• Avoir une intégrité et une éthique à touteépreuve, et suivre l’exemple de CynthiaCooper, responsable de l’audit interne deWorldcom, qui a détecté les fraudes financièresqui y étaient commises et qui les a révéléesmalgré les menaces et les intimidations dudirecteur financier, tout en étant conscienteque ces révélations détruiraient l’entreprisemais en sachant que c’était son devoir de lefaire.

• Disposer d’expériences assez variées.Cela ne veut pas dire qu’il est impossible deréussir en faisant toute sa carrière dans l’auditinterne. Cela signifie que pour réussir, il fautêtre capable de comprendre et d’avoir de l’em-pathie pour le management.

• Avoir une excellente compréhension desrisques, ce qui nécessite de rester continuel-lement à l’affût, à l’écoute de ce qui se passeen termes de risques émergeants ou quiévoluent.

• Avoir la capacité à détecter et à développerles talents.Le directeur de l’audit interne qui réussit estcelui qui est capable de motiver son équipe, dela faire grandir et de la professionnaliser car ilsait que son principal atout, sa ressource laplus importante, ce sont les personnes de sonéquipe.

• Rendre mature sa direction de l’auditinterne en la faisant travailler sur des missionsd’audit opérationnel, en procédant à l’évalua-tion de l’efficacité et de l’efficience des opéra-tions, en plus d’effectuer des contrôlesfinanciers mais aussi en ayant le sens de l’an-ticipation, ce qui veut dire : être capable deprévoir à quels risques clés l’entreprise estsusceptible d’être soumise dans le futur.

Les administrateurs ont besoin d’une informationsynthétique, organisée, hiérarchisée leur permettantd’utiliser efficacement les constats et recommandationsde l’audit interne, et initier, le cas échéant, les mesuresqu’ils estimeraient appropriées. Il ne peut y avoir d’in-formations significatives « réservées » au management,c’est-à-dire volontairement soustraites aux administra-teurs.

L’IFA et l’IFACI recommandent que l’audit interne :• donne le même niveau qualitatif d’information au

comité d’audit et à la direction générale sous uneforme, une périodicité et un format appropriés ;

• communique au comité d’audit les rapports desynthèse des missions d’audit ou une synthèse pério-dique de ces rapports et, à sa demande, le rapport lui-même.


Réponses à des questionsdiverses

Q : L’audit des organismes publics présente-t-il desspécificités particulières ?

R. Ch. : Je pense que certaines des meilleurespratiques d'audit au monde ont lieu dans lesecteur public. Je pense à un vieux livre intitulé« J'ai appris tout ce qu'il y a à savoir sur la vie à lamaternelle ». Eh bien, j'ai appris tout ce qu'il y aà savoir sur l'audit dans le secteur public !Certains des défis que l'on affronte en tantqu'auditeur dans le secteur public préparent àceux que l'on rencontrera dans le secteur privé.Cependant, il existe certaines différences trèsnettes. Réaliser des audits dans un contexte poli-tisé, comme c'est souvent le cas dans le secteurpublic, est sans doute le plus grand défi. Si vouspensez qu'il y a de la politique dans le secteurprivé ou que vous avez des difficultés à travailleravec les dirigeants, dites-vous que ce n'est rienpar rapport à essayer de faire de l'audit dans uncadre public, où des politiciens essaient souventde vous persuader de renforcer une de leursdécisions politiques et où les médias sont à l'af-fût de chaque mot, et publient des rapports d'au-dit sur le travail du service d'audit dugouvernement. Lorsque j'ai parlé des qualitésdu DAI qui réussit, à savoir un courage et uneintégrité à toute épreuve, ce sont peut-êtreles caractéristiques les plus importantes d'unDAI dans le secteur public.

Q : L’audit peut-il auditer la gouvernance et lesprocessus de gouvernement d’entreprise ?

R. Ch. : C’est une pratique totalement pionnièred'impliquer l'audit interne dans l'évaluation del'efficacité de la gouvernance. Pour être honnête,je pense que la norme la moins adoptée detoutes est celle qui veut que l'audit interneévalue l'efficacité du gouvernement d’entreprise.Dans beaucoup d'entreprises, les auditeursinternes sont intimidés et n'osent pas demanderau conseil d'administration la marge de manœu-vre nécessaire à évaluer l'efficacité de la gouver-nance, parce que le conseil d'administrationconsidère que le gouvernement d’entreprise estsa prérogative, et qu'il est rare que l'autoritéultime soit auditée. Je pense que vous constate-rez que beaucoup de groupes d'audit interneévitent d'auditer l'efficacité de la gouvernance.La responsabilité sociale de l'entreprise est aumoins un domaine pour lequel on voit de réellesévolutions dans le monde. Elle a plus de succèsen Europe, par exemple, qu'aux Etats-Unis.Nous essayons de motiver les DAI américainssur la question de la responsabilité sociale del'entreprise, mais ils font la sourde oreille. Cen'est pas considéré comme un risque sérieux.

Q : Quel rattachement pour l’audit interne ?

R. Ch. : La relation hiérarchique la plus efficaceest ce que nous appellerions une relation hiérar-

Vous pouvez télécharger dans la bibliothèque en lignedu site internet de l’IFACI, le cadre de référence interna-tionale des pratiques professionnelles de l’audit interneadapté aux administrations de l’Etat par le Groupeprofessionnel éponyme.

L’IFA et l’IFACI recommandent :• que l’audit interne évalue, à partir d’une approche par

les risques, l’ensemble des processus de l’entreprise,qu’ils soient opérationnels ou de gouvernance ;

• que, dans ce cadre, il procède régulièrement à l’éva-luation du fonctionnement et des compétences duconseil des filiales et de leurs différents comités ;

• que l’audit interne s’abstienne – sauf demandeexpresse – d’évaluer le fonctionnement et la perfor-mance du conseil de la maison mère et de ses comités,du fait de l’existence d’une situation de conflit d’inté-rêt.


INTERNATIONAL

chique administrative envers le PDG, et unerelation hiérarchique fonctionnelle envers lecomité d'audit. Dans beaucoup de grandesentreprises, le PDG ne dispose tout simplementpas du temps ou de la capacité nécessaire àsuperviser l'audit interne au quotidien. Pour mapart, je pense que c'est une fausse excuse, maisc'est l'opinion communément admise. Celasignifie que nous devons trouver une relationhiérarchique alternative au sein de l'entreprise,ce que j'appellerais un « champion » de l'auditinterne. La distinction qu'il est essentiel de faireau sujet de cette relation hiérarchique adminis-trative est que l'individu dont l'audit internedépend administrativement doit reconnaîtrequ'il n'est rien de plus qu'un champion de l'auditinterne, et qu'en réalité l'audit interne travaillepour le conseil d'administration. C'est quelquechose qu'il est très difficile de faire accepter dansla plupart des entreprises. Le management émetdes objections très fortes dans beaucoup de cas. Les relations administratives les plus troublantesque j'ai pu observer étaient celles où la personne,dont l'audit interne dépendait administrative-ment, garde la haute main sur le DAI, dit au DAIce qu'il ou elle peut ou ne peut pas dire aucomité d'audit, vérifie ou modifie les slides duDAI, et intervient pour censurer ce qui estcommuniqué. Pour moi, ce n'est pas une fonc-tion d'audit indépendante. C'est une fonctiond’audit qui a un réel problème pour faire sontravail. Je pense que les comités d'audit qui lais-sent faire ce genre de choses sont complices. Ilsdoivent savoir si on leur dit la vérité, ou si le DAIest sous la coupe du directeur financier. Il y a une tendance inquiétante qui s'est déve-loppée dans les dix dernières années, en parti-culier en Amérique du Nord, et je pense aussidans d'autres régions, et qui consiste à voir lerôle de DAI comme un poste tournant de déve-loppement pour les dirigeants.Je ne suis pas fondamentalement opposé àl'idée, mais je suis fondamentalement opposé à

la manière dont elle est mise en œuvre. AuxEtats-Unis, je pense qu'environ 50 % des entre-prises Fortune 500 considèrent maintenant leposte de DAI comme un poste de développe-ment pour les dirigeants, ce qui signifie qu'il estrare qu'un auditeur interne de carrière dirigecette fonction. Ce qui m'inquiète vraiment estque dans bien des cas, il est clair que la personnequi devient DAI provient de la direction finan-cière, qu'elle occupera le fauteuil de DAI pendanttrois à cinq ans, et s'attend clairement à retour-ner ensuite à la direction financière avec un rôleplus important. Cela m'inquiète beaucoup, parceque cette personne sait, dès son premier jour, entant que DAI qu'en dernière analyse, elletravaille pour celui pour lequel elle finira parretourner travailler. Donc même si elle est indé-pendante et même si elle est réellement objec-tive, que pense le reste de l'entreprise ? J'airencontré un avocat conseil, le directeur juri-dique d'une entreprise Fortune 500 au Etats-Unis, qui m'a dit : « Tout le monde dans cetteentreprise sait que le DAI est un lampiste du direc-teur financier, parce qu'il travaillait pour le directeurfinancier avant, et qu'il retournera travailler pourlui après. »

* **

L’IFA et l’IFACI recommandent :• que l’audit interne soit clairement rattaché hiérarchi-

quement à la direction générale ;• que des relations étroites et régulières soient établies

avec le comité d’audit ;• que les relations entre, d’une part l’audit interne, d’au-

tre part la direction générale et le comité d’audit,soient précisément identifiées : périodicité, procé-dures mises en œuvre, mode de présentation et desynthèse des constats de l’audit interne, modalités desuivi des recommandations…


Cette intervention de Richard Chambers est riched'enseignements. Elle marque, sur bien des points,une évolution certaine de l'IIA qui conforte les thèsesque nous développons à l'IFACI depuis plusieursannées :

• l'audit interne n'est pas une fonction comptable etfinancière, il est bien plus que cela ;

• la prise en compte de tous les risques, qu'ils soientfinanciers, opérationnels ou de conformité doit êtreà la base de l'élaboration du plan d'audit ;

• une nécessaire coopération entre direction d'auditinterne et direction des risques est plus que jamaisindispensable. Il importe de bien appréhender lesmissions de chacun et de jouer la complémentaritéplutôt que la concurrence afin de dégager ensemblele maximum de synergie. (C’est dans cet esprit quel’IFACI organise avec l’AMRAE le colloque du 17mai 2011 sur le thème « Contrôleurs internes,risk managers, auditeurs internes : comment cesacteurs contribuent-ils ensemble à la valeurajoutée des organisations ») ;

• l'audit interne est une fonction où, de façon géné-rale, on ne fait pas carrière. Un passage à l’auditinterne de cadres opérationnels, pendant 3 à 5 ans,est éminemment souhaitable pour l’efficacité duservice ;

• la connaissance du métier, de la stratégie et de lapolitique de l’organisation est indispensable pourréaliser des missions qui répondent aux attentesdes dirigeants ;

• la mise en place d’un urbanisme du contrôleinterne efficient est plus que jamais d’actualité. Lesdeux prises de position publiées récemment parl’IFACI sur ce sujet sont d’une grande importance ;

• si l’on veut que l’audit interne joue, au sein desorganisations, les tout premiers rôles, le service

doit donner en permanence à ses parties prenantesl’assurance de son professionnalisme et de son effi-cacité. C’est l’objectif même de la CertificationIFACI citée en exemple par Richard Chambers ;

• l’évaluation des processus de gouvernement d’en-treprise fait partie pleinement de la mission del’audit interne et, si l’évaluation du fonctionne-ment et des compétences du conseil d’administra-tion des filiales est fortement recommandée, cellede la maison mère ne semble ni réaliste ni oppor-tune.

Le seul point de divergence que nous continuons àavoir avec l’IIA concerne le rattachement du service.Pour des motifs liés pour partie, nous semble-t-il, àla vision comptable et financière qu’a eue dans lepassé – encore récent – l’audit interne aux Etats-Unis, l’IIA privilégie un rattachement fort au comitéd’audit ce qui, selon les propos-mêmes de RichardChambers, fait l’objet de beaucoup de réticence de lapart du management des organisations.

Dans beaucoup d’autres pays, il en va autrement.C’est ainsi qu’en France il y a un fort consensus dela part des régulateurs et superviseurs, de l’IFA, del’AFEP et de l’IFACI pour affirmer très clairementun rattachement hiérarchique à la direction généralecombinée avec des liens étroits et réguliers avec lecomité d’audit.

Cette différence ne gêne en rien le respect des normesprofessionnelles qui, avec sagesse, (article 1110)précise : « le responsable de l’audit interne doitrelever d’un niveau hiérarchique suffisant au seinde l’organisation pour permettre au service d’au-dit interne d’exercer ses responsabilités ».

L. V.



Evénements

L’audit descontratsRéunion mensuelledu 22 mars 2011

L’audit des contrats n’estpas une nouvelle formed’audit, mais un auditqui se développe enraison de la contractuali-sation d’un nombrecroissant d’activités qui,auparavant, étaient trai-tées en interne. Uncontrat formalise unaccord sur des principesde fonctionnement,entre plusieurs parties,avec une reconnaissanced’obligations réci-proques.

A la CASDEN, quiappartient au secteurbancaire, 2 500 contratsenviron sont recensés :1 200 contrats financiersou de gestion ; 400contrats de prestation ;600 contrats informa-tiques ; 300 conventionsde partenariat. Cescontrats constituent, enquelque sorte, une rentede situation, en ce qu’ilssont, pour l’auditeur, un

véritable référentiel ; touty est prévu : les condi-tions générales, lesconditions particulières,les incidents potentiels…Pour l’audit, tout estcontrat, et les contratssont considérés commeune entité auditable entant que telle, avec uneapproche classique entrois volets : le pilotage,le métier (gestion, opéra-tionnel, technique), lesupport.Les prestations deservices essentiellesimpliquent un engage-ment du prestataire :continuité des servicesen rapport avec le PCA ;compte rendu des activi-tés ; « droit de suite »pour les missions d’auditinterne.

Chez SUEZ Environne-ment, les contrats sontaussi nombreux quedivers : distributiond’eau, affermage,concession, assistancetechnique…Le bon déroulementd’un contrat est engrande partie lié auxconditions contractuellesdéfinies avant sa signa-ture. Ont été développéstrois programmes typesd’audit relatifs aux

contrats significatifs :revue de la préparationde l’offre (phase précon-tractuelle) ; revue ducontrat en cours d’exécu-tion ; retour en arrièresur le respect du businessplan d’origine, aprèsquelques années de viedu contrat.La revue du contrat encours d’exécution eststructurée en quatreparties : la conformitécontractuelle ; l’exécu-tion du contrat ; laconformité économique ;les évolutions et l’avenirdu contrat.

La société d’avocats Tajattire l’attention sur despoints de vigilance dansle cadre d’un auditcontractuel.Les risques apparentstiennent à la durée descontrats, aux délais depaiement et à la clausede responsabilité.Risques que l’entreprisese réengage à son insu ;risque financier associé àla résiliation du contrat ;rupture abusive ; négo-ciabilité des délais depaiement ; types dedommages, plafondd’indemnisation, pres-cription.Les risques cachés sont :

la requalification ducontrat par le juge quivérifie l’ « économieréelle » ; les lois applica-bles, quand un contratest conclu entre deuxsociétés de nationalitédifférente ; les contratsoraux qui n’existent pasque dans les petitesentreprises ; le droit de laconcurrence (un contratpeut être constitutifd’une entente illicite).

Commentconstruire unprogramme detravail lors d’unemission d’audit ?Réunion mensuelledu 5 avril 2011

L’élaboration duprogramme de travail,lors d’une mission d’au-dit, est au cœur dumétier d’auditeur. L’or-ganisation des travauximplique une définitionprécise des objectifs etune vision claire desrisques.

Les normes profession-nelles (2240 et 2240.A1)préconisent d’ « élaboreret [de] documenter unprogramme de travailpermettant d’atteindre les



objectifs de la mission » etde mettre en place des« procédures pour identi-fier, analyser, évaluer etdocumenter les informa-tions lors de la mission. Leprogramme de travail doitêtre approuvé avant samise en œuvre. »

Chez Air France - KLM,la phase programme detravail prend place unefois réalisée la sélectiondes axes d’audit (phasepréliminaire). Leprogramme de travail estavant tout un outil quipermet, entre autres, defaire travailler ensembledes personnels qui n’ontpas la même cultured’audit.L’audit interne réalisedifférents types demissions : audits opéra-tionnels, audits d’établis-sements locaux, auditsde filiales, missions deconsulting…, avec desinvestigations spéci-fiques. Il utilise l’outild’audit E.W.P. (Engage-ment Work Program). Unfichier est ouvert dès ledébut de la phase depréparation, qui intègrel’ensemble des travauxeffectués : préparation,définition des axes d’au-dit, référentiel d’audit,

programme de travail,analyses, tests, inter-views, etc., fiches deconstat.

Lors de leurs missions,les auditeurs du CréditAgricole doivent élabo-rer un programme detravail, formalisé sous laforme d’un guide d’au-dit. Le guide d’audit estun outil, une aide à laréflexion (ce n’est pas undogme), un appuiméthodologiquepermettant de conduirel’audit selon unedémarche structurée etréfléchie, et de préparerla phase de conduite desinvestigations et descontrôles à effectuer.Les guides d’audit repo-sent sur trois critèresd’analyse : le respect dela réglementation et larégularité desopérations ; la sécuritédes opérations ; l’effica-cité des traitements.Les guides d’audit sont àla disposition de tous lesauditeurs du groupe.Leur mise à jour est faiterégulièrement sur la based’une veille réglemen-taire et d’un suivi desquestions soulevées lorsdes missions.

Rigueur et homogénéité.Chez Safran, le travaild’audit est structuréselon une méthodologieet des données d’auditidentiques, quelles quesoient les missions, cequi permet une appro-priation aisée de la struc-ture et des outils, unemise en place rapide endébut de mission et unerécupération de donnéesfacile d’un audit à l’au-tre. Parmi les différentsoutils, le programme detravail est centralpuisqu’il trace le travaild’audit, du référentiel et

de la sélection des axesde travail aux preuves etaux constats débouchantsur les recommanda-tions.Une bibliothèque deréférentiels et deprogrammes de travailexistent pour certainstypes de missions :audits de conformité,audits financiers…Concernant les auditsopérationnels, la diver-sité des problématiqueset des secteurs nécessitesouvent la constitutionde référentielsidoines. �

Les prochains rendez-vous

PARIS>> jeudi 23 juin 2011Colloque - Gouvernance du Systèmed’Information ... à la gouvernance del’entreprise numérique

EST>> jeudi 26 mai 2011Réunion - La cartographie des risques

NORD>> mardi 14 juin 2011Réunion - Audit d’un projet de fast close(accélération de la publication des résultats)

Renseignements complémentaires etinscription : www.ifaci.com

OUI, je désire recevoir le(s) numéro(s) :

193

194

195

196

197

198

199

200

201

202

203

Paiement par : chèque bancaire ou postal (à l’ordre de l’IFACI)

virement au HSBC Paris Champs-Elysées - Compte IFACI n° 30056-00148-01485415521-72

carte de crédit - n° . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Date d’expiration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Signature autorisée

OUI, je souhaite m’abonner à la revue

« Audit & Contrôle internes » pour l’année2011 (du n° 203 au n° 207)(*) au prix de :

adhérents IFACI : 56 € TTC

non adhérents IFACI : 90 € TTC

(*) Si vous souscrivez un abonnement en cours d’année,les numéros de l’année parus avant la date du règlementvous seront envoyés.

Nom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prénom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . N° adhérent IFACI . . . . . . . . . . . . . .

Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Code Postal . . . . . . . . . . . . . . . . . . . . . . . . . . . Ville . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pays . . . . . . . . . . . . . . . . . . . . . . . .

Date Signature

Commande à retourner à :I F A C I - 98 bis, boulevard Haussmann - 75008 Paris - Tél. : 01 40 08 48 00 - Fax : 01 40 08 48 20 - Mel : [email protected]

Vous pouvez également commander ou vous abonner à la revue « Audit & Contrôle internes » sur le site Internet www.ifaci.com

n° 193 n° 194 n° 195 n° 196 n° 197

n° 198 n° 199 n° 200 n° 201 n° 202

n° 203

Retrouvez la liste des

articles parus dans la

revue Audit Interne sur le

site Internet de l’IFACI

www.ifaci.com

au prix unitaire de22 € TTC

DP

AI

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Consultez le programme complet sur le site internet www.ifaci.com

SESS IONS Durée Tarifsadhérents

Tarifs nonadhérents mai juin juillet sept. octobre nov. déc.

Se FoRmeR Au CoNtRôLe INteRNeS’initier au contrôle interne 2 j 900 € 1 075 € 2-3 9-10 4-5 5-6 7-8

Cartographie et management des risques 3 j 1 600 € 1 775 € 4-6 14-16 12-14 5-7 7-9

Mettre en œuvre le dispositif de contrôle interne 2 j 1 150 € 1 275 € 9-10 20-21 7-8 15-16 17-18

Piloter et faire vivre le dispositif de contrôle interne 2 j 1 150 € 1 275 € 12-13 23-24 19-20 21-22

Le contrôle interne des systèmes d’information 2 j 1 150 € 1 275 € 27-28 3-4

Se FoRmeR à L’AuDIt INteRNeLes fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 900 € 1 075 € 5-6 9-10 4-5 8-9 3-4 7-8 1-2

Conduire une mission d’audit interne : la méthodologie 4 j 1 850 € 2 050 € 9-12 14-17 5-8 12-15 10-13 15-18 5-8

Maîtriser les outils et les techniques de l’audit 3 j 1 550 € 1 700 € 16-18 20-22 11-13 19-21 17-19 21-23 12-14

Maîtriser les situations de communication orale de l’auditeur 2 j 1 000 € 1 100 € 19-20 23-24 7-8 22-23 6-7 24-25 15-16

Réussir les écrits de la mission d’audit 2 j 1 000 € 1 100 € 23-24 27-28 11-12 26-27 20-21 28-29 15-16

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 450 € 1 600 € 25-27 28-30 7-9

Désacraliser les systèmes d’information 3 j 1 450 € 1 600 € 25-27 28-30 13-15

Détecter et prévenir les fraudes 2 j 1 000 € 1 100 € 29-30 26-27 20-21 5-6

Le management

Piloter un service d’audit interne 2 j 1 250 € 1 375 € 12 -13 10 -11

Manager une équipe d’auditeurs au cours d’une mission 1 j 650 € 730 € 4 25

L’audit interne dans les petites structures 1 j 650 € 730 € 30 19

Balanced Scorecard du service d’audit interne 1 j 650 € 730 € 24 24

Le suivi des recommandations 1 j 650 € 730 € 9

Préparer l’évaluation externe du service d’audit interne 2 j 1 250 € 1 375 € 16-17 28-29

L’audit interne, acteur de la gouvernance 1 j 650 € 730 € 14

Audit interne, contrôle interne et qualité : les synergies 1 j 650 € 730 € 20 7

Les audits spécifiques

Audit du Plan de Continuité d’Activité - PCA 2 j 1 250 € 1 375 € 27-28 28-29

Audit de la fonction Comptable 2 j 1 250 € 1 375 € 10-11

Audit de performance de la gestion des Ressources Humaines 3 j 1 450 € 1 600 € 23-25

Audit de la fonction Achats 2 j 1 250 € 1 375 € 22-23

Audit des Contrats 1 j 650 € 730 € 7

Audit de la fonction Contrôle de Gestion 2 j 1 250 € 1 375 € 28-29

Audit de la Sécurité des Systèmes d’Information 2 j 1 250 € 1 375 € 15-16

Audit des Processus Informatisés 2 j 1 250 € 1 375 € 21-22

Audit de la Législation Sociale 2 j 1 250 € 1 375 € 13-14

Audit du développement durable 2 j 1 250 € 1 375 € 19-20

Se FoRmeR DANS Le SeCteuR PubLICLe contrôle interne dans le secteur public 2 j 1 250 € 1 375 € 2-3 8-9 7-8

Pratiquer l’audit interne dans le secteur public 4 j 1 850 € 2 050 € 20-23 17-20 12-15

Se FoRmeR DANS Le SeCteuR bANCAIReLe contrôle interne dans le secteur bancaire et financier 3 j 1 450 € 1 600 € 8-10 3-5

Pratiquer l’audit interne dans le secteur bancaire et financier 4 j 1 850 € 2 050 € 20-23 12-15

L’audit de la transposition de Bâle II 2 j 1 250 € 1 375 € 13-14

L’audit de la conformité 2 j 1 250 € 1 375 € 26-27 26-27

Se FoRmeR DANS Le SeCteuR DeS ASSuRANCeSLe contrôle interne dans le secteur des assurances 2 j 1 250 € 1 375 € 2-3 8-9 7-8

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 850 € 2 050 € 27-30 17-20 12-15

Se FoRmeR DANS LeS SeCteuRS INDuStRIe et CommeRCeAudit des processus clés des activités industrielles et commerciales 4 j 1 850 € 2 050 € 20-23 17-20 6-9

ACquéRIR uNe CeRtIFICAtIoNLe DPAI

Préparation au DPAI 2 j 900 € 1 075 € 26-27 13-14 17-18 13-14

Le CIA

Préparation au CIA - partie I 1,5 j 800 € 1 000 € 14pm-15 12pm-13

Préparation au CIA - partie II 1,5 j 800 € 1 000 € 16pm-17 15pm-16

Préparation au CIA - partie III 1,5 j 800 € 1 000 € 20pm-21 19pm-20

Préparation au CIA - partie IV 1,5 j 800 € 1 000 € 23pm-24 22pm-23

Calendrier 2011

Nouveau

Nouveau

Nouveau

L’Audit Interne en 4 étapes clés :

Planification Réalisation Recommandations Reporting

Optimisez la planification et l’organisation de vos missions !

Suivez vos recommandations : mettez en place une approche collaborativeAuditeurs – Responsables opérationnels !

Pilotez dynamiquement vos risques !

VOS BÉNÉFICES

www.cogis-software.com 01.47.82.40.59

Simplifiez-vous la vie avecHorus Web !

1

FICHE TECHNIQUE

avril 2011 - FICHE TECHNIQUE N°34 - Audit & Contrôle internes

Norme 2020 – Communication et approbation

Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil son plan d'audit etses besoins, pour examen et approbation, ainsi que tout changement important susceptible d'intervenir encours d'exercice. Le responsable de l'audit interne doit également signaler l'impact de toute limitation de sesressources.

Michel Uhart - Directeur adjoint de la direction de l’audit, EDF

Entretien avec ...

Béatrice Ki-Zerbo : Pouvez-vous nous présenterbrièvement l’organisation de votre service et l’élabo-ration du plan d’audit ?

Michel Uhart : L’audit interne chez EDF c’estune direction de l’audit « corporate » comportantune cinquantaine d’auditeurs, et des servicesaudits métiers (production, commercial, EDFEnergy qui est notre principale filiale anglaise).Le tout forme la « filière audit » du groupe. Nousavons un fonctionnement intégré puisque lesservices d’audit décentralisés ont un doublerattachement, au manager de leur entité et à ladirection d’audit corporate. De plus, le pland’audit de chaque composant de la filière audit

est élaboré de façon concertée, l’audit corporateayant in fine le dernier mot. Ce plan d’audit est organisé en 5 vagues de 10missions d’audit en parallèle. Chaque séquencedure deux mois. Au bout de ces deux mois, lesrapports sont diffusés aux audités et une autrecampagne est relancée après les réunions devalidation des plans d’actions.

Les principaux dirigeants du groupe sont consul-tés sur le projet de plan d’audit. Ainsi, ce sont 50à 60 entretiens qui sont conduits en un mois parla seule direction de l’audit corporate. Les arbi-trages éventuels sont effectués par le présidentd’EDF et le comité d’audit. Ainsi, le plan 2011-

L’efficacité des missionsse prépare dès l’élaborationdu plan d’audit

2

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°34 - avril 2011

2012 vient d’être adopté au dernier comité d’au-dit (mi-mars).

B. K.-Z. : Comment prenez-vous en compte descirconstances exceptionnelles, comme la crise japo-naise ?

M. U. : Nous intégrons au fil de l’année desdemandes d’audit. En ce qui concerne, la situa-tion de crise au Japon, il est encore trop tôt pourtirer des conséquences en termes d’audit interne

[ndlr : l’entretien s’est déroulé le 17 mars]. Pourl’instant, on est en alerte, comme tout le monde.Mais le plan d’audit va forcément être modifié.

B. K.-Z. : Le plan approuvé est-il communiqué auxdirecteurs consultés ?

M. U. : Non, on ne rediffuse pas le plan validé.Le projet de plan qui leur est présenté comprenddes périodes prévisionnelles d’audit, ne serait-ce que pour s’assurer qu’elles ne correspondentpas à des pointes d’activité. La communication sur la planification définitiveest faite au lancement de la mission avec l’ordrede mission adressé aux dirigeants concernés.

B. K.-Z. : L’essentiel de la communication avec lesdirigeants, se fait donc en amont de la validation parle président et le comité d’audit. Avez-vous un entre-tien préalable avec le président du comité d’audit ?

M. U. : Oui. Cet entretien est fait par le directeurdélégué aux risques et à l’audit du groupe quisupervise la direction de l’audit corporate.

B. K.-Z. : Quelles sont les informations fournies àla direction générale et au comité d’audit pour l'ap-probation du plan ? Au-delà des éléments qui ressor-tent des entretiens avec les dirigeants, quelles sontles informations complémentaires que vous donnezaux organes dirigeants ?

M. U. : Nous rappelons la méthodologie quenous avons retenue pour bâtir le plan d’audit :• des audits triennaux des dispositifs de contrôleinterne des différentes entités du groupe ;

• les résultats de réactualisation semestrielle dela cartographie des risques par les divisions.Cette mise à jour bottom-up est organisée parla direction des risques. Les fiches de risquesréactualisées par les divisions ou directions dugroupe sont challengées lors d’ateliersauxquels nous assistons de même que les

Michel Uhart est ingénieur de l'école centrale de Nantes. Iltravaille pour EDF depuis 1982 et a exercé la majorité de sacarrière dans l'exploitation des centrales nucléaires. Il adirigé la centrale nucléaire de Fessenheim, puis celle deBugey, avant de prendre la fonction de directeur délégué àla maintenance au sein du comité de direction de la divisionProduction nucléaire d'EDF. Il a ensuite pris la responsabilitéde la direction de l'audit d'EDF, sous l'autorité du directeurdes Risques et de l'audit, en mai 2010.

3avril 2011 - FICHE TECHNIQUE N°34 - Audit & Contrôle internes

représentants des directions fonctionnelles(juridique, des relations institutionnelles, del’environnement…). Les risques majeurs sontcouverts par le plan d’audit avec une périodi-cité de 3 ans ;

• les grands projets quelle que soit leur naturequi sont soumis à l’aval du comité des enga-gements du groupe ;

• des audits systématiques sur des processuscomptables et financiers, de niveau corporate,où l’on se coordonne avant avec les CAC pourne pas faire deux fois la même chose ;

• nous réalisons également des audits post-acquisition pour vérifier la conformité parrapport au business plan, l’intégra-tion dans le groupe (applica-tion des politiques dugroupe, intégration du SIet de la comptabilité ) ;

• une à deux missions deconformité par rapport àdes instructions de ladirection générale (exem-ple, respect du droit de laconcurrence).

B. K.-Z. : Le lien entre les missions proposéeset les risques est donc explicite. Précisez-vous d’au-tres informations ? Par exemple, indiquez-vous lesressources nécessaires à la réalisation du plan, ycompris les activités sous-traitées ?

M. U. : Compte tenu de notre organisation envague, une mission moyenne est réalisée par unpilote et deux auditeurs. Si nécessaire, l’effectifest augmenté mais cette information ne figurepas dans le plan d’audit. Le recours à la sous-traitance, nous le faisonspour des audits très techniques (nucléaire, déve-loppement de systèmes informatiques ou élec-troniques, finances …). Nous faisons alors appelà des sociétés, pas forcément d’audit, d’ailleurs.Car même si il ya des experts dans la maison, il

est parfois nécessaire d’avoir un regard plusexterne.Par ailleurs, nous demandons un renfort auxservices d’audit décentralisés pour certainsaudits. Enfin, nos auditeurs sont tous des cadresà potentiel de dirigeants qui viennent de diffé-rents métiers du groupe et passent 3 ans à laDAI.

B. K.-Z. : Effectivement il vaut mieux aborder laquestion du dimensionnement du service en amontdu processus d’approbation du plan.

M. U. : Nous veillons à avoir les ressourcessuffisantes en quantité et ayant des

origines variées de façon àpouvoir être efficaces dans tousles secteurs du groupe. Parexemple, si on prendquelqu’un dans le secteurde la Production nucléaire,il a toutes les entrées qu’ilveut dans le secteur. Nous

optimisons donc notre capa-cité d’action.

Le turn-over est fort (environ 3 ans).J’essaie de veiller à avoir un panel de toutes

les cultures de la maison. Ce n’est jamais parfait,mais on a une cible de cartographie de compé-tences et on essaie d’y coller.

B. K.-Z. : Pour en revenir au plan d’audit, est-ilpluriannuel ? Comment gérez-vous les éventuelleslimitations de périmètre ou de ressources qui vousconduiraient à reporter des missions d’une année surl’autre ?

M. U. : Le plan validé est annuel. Par contre,nous avons une vision pluriannuelle, puisque,comme je vous expliquais, nous avons un objec-tif de couverture triennal des dispositifs decontrôle interne, des processus comptables etfinanciers et des risques majeurs.

« Dans les auditsclassiques d’assurance,

nous essayons de faire desrecommandations qui ont

valeur de conseil »

avril 2011 - FICHE TECHNIQUE N°34 - Audit & Contrôle internes

Jusqu’à l’année dernière nous avions un pland’audit semestriel. Nous avons changé la pério-dicité parce que notre dispositif de consultationdes dirigeants est vu comme un point fort. Or,compte tenu de l’agenda des personnes impli-quées, il devenait difficile de recommencer cetteconcertation tous les 6 mois. Au cours de l’an-née, nous rencontrons certains dirigeants lors dela mise à jour semestrielle de la cartographie desrisques et lors de la restitution des audits.

B. K.-Z. : Vous avez tout à fait raison, il ne faut paslasser les dirigeants. Qu’en est-il de la gestion deséventuelles limitations de ressources ou de périmè-tre ?

M. U. : Comme je l’ai indiqué précédemment,l’implication de notre président et notre modede recrutement permettent de limiter cesrisques. Si nous devons reporter des missions, ce n’estjamais une question de ressources mais c’estqu’elles tombent vraiment mal. Par exemple, unpic d’activité ou des réorganisations dans ladirection auditée. Dans le cas des réorganisa-tions, il peut en réalité y avoir deux cas de figure :soit le dirigeant souhaite que l’audit interviennepour un état des lieux, soit il n’est pas intéresséet il vaut mieux venir un an après sinon c’est uneperte de temps pour tout le monde.

B. K.-Z. : Avez-vous des missions exceptionnellesnon planifiées ?

M. U. : Oui, ça nous arrive. Il y en a à peu prèsune par vague. Ce sont ces missions flash où ilfaut quasiment les conclusions pour le lende-main. Il faut alors réaffecter les ressources. Engénéral, ça conduit à un léger décalage.

B. K.-Z. : Le plan soumis à l’approbation desinstances dirigeantes comporte-t-il les missions deconseil ?

M. U. : Pour l’instant, nous ne réalisons pas demissions de conseil. La charte a été modifiéel’année dernière, en reprenant la définitioninternationale de l’audit interne et donc la possi-bilité de faire des missions de conseil. Par contre, dans les audits classiques d’assu-rance, nous essayons de faire des recommanda-tions qui ont valeur de conseil et qui ne selimitent pas à « Vous n’avez pas rempli le formulaire36 bis » …

B. K.-Z. : Et dans les projets informatiques, est-ceque vous êtes impliqués en amont des développe-ments ?

M. U. : Non pas directement. Mais nous lessuivons via la cartographie des risques et lecomité des engagements. Nous veillons d’ail-leurs à ce que l‘analyse des risques des grosprojets présentés au comité des engagementssoit bien conduite dans le cadre des ateliers« risques » semestriels.En fonction des enjeux, nous pouvons intervenirà certaines phases du déploiement pour vérifier

4

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°34 - avril 2011

que le projet se passe effectivement commeprévu. Même quand nous menons ces auditsd’assurance, on essaie d’apporter de la valeur.

B. K.-Z. : Si je comprends bien votre processus d’éla-boration du plan d’audit, le 1er trimestre est un véri-table marathon.

M. U. : Oui, pour pouvoir présenter le plan aucomité d’audit du mois de mars, nous commen-çons l’élaboration du plan début décembre.Nous rencontrons la direction des risques pourfinaliser le projet de plan qui est présenté au Topmanagers en janvier, février. Puis le projet estsoumis au PDG et au président du comité d’au-dit.

B. K.-Z. : Et c’est vous-même qui menez tous lesentretiens ?

M. U. : Non, cela dépend des niveaux hiérar-chiques. Au niveau n 1 COMEX ce sont les 6directeurs de mission qui s’en chargent. Cesanciens cadres dirigeants (directeur de centre,directeur de centrale nucléaire…) sont les réfé-rents de la direction de l’audit vis-à-vis d’unepartie des directions d’entreprise auxquelles ilsprésentent le projet de plan.

B. K.-Z. : Comment communiquez-vous sur la réali-sation effective du plan ?

M. U. : Nous rendons compte de nos missionstous les 6 mois en comité d’audit. La directiondes risques rend également compte de la carto-graphie des risques, deux fois par an. Maiscompte tenu du temps imparti, nous n’interve-nons pas à la même session. En général, la carto-graphie des risques est examinée en mêmetemps que les comptes. L’audit et le contrôleinternes sont examinés au comité suivant.

B. K.-Z. : Au-delà de l’approbation du plan par lesorganes dirigeants, la communication avec le Topmanagement semble constituer un moment fort quipermet de maintenir le positionnement de l’auditinterne.

M. U. : Oui, ce n’est pas un exercice purementformel. Il y a un intérêt réel des dirigeants qui estnotable jusqu’à la restitution des rapports d’au-dit. Lors des réunions de validation où sontconviés tous ceux qui vont avoir à prendre encharge des recommandations, il nous arrived’avoir trois membres du COMEX d’EDF. Pourles réunir, ce n’est pas toujours simple. Mais engénéral, ils sont présents, ce qui veut dire qu’ilsattachent de l’importance à nos conclusions.Du coup, c’est aussi une incitation forte à fairedes rapports d’audit qui soient lisibles par desdirigeants. En général, ils n’ont pas le temps delire 50 pages, on a donc fait beaucoup d’effortssur le format des rapports. Je fais la chasse à desmots comme « stratégie », « réflexion »,« gouvernance » sauf s’ils sont vraimentemployés à bon escient. Je veux que les auditeursparlent de choses concrètes pragmatiques quiseront parfaitement comprises par les managersqui auront à les mettre en œuvre. Les formula-tions doivent être claires et concises en évitantdes précautions comme « réfléchir à l’opportu-nité de … ».

5

6avril 2011 - FICHE TECHNIQUE N°34 - Audit & Contrôle internes

Ra Ci 204web

Documents

Transcript of Ra Ci 204web