LA CONFORMITÉ : UNE PRÉOCCUPATION MAJEURE DES …

LA CONFORMITÉ :UNE PRÉOCCUPATION

MAJEURE DES DIRIGEANTS

N°0011er trimestre 2015

r e v u e i n t e r n a t i o n a l e d e s a u d i t e u r s e t d e s c o n t r ô l e u r s i n t e r n e s

RENCONTREAVEC ...

Abdellatif Jouahri,Gouverneur deBank Al-Maghrib

SOMMAIRE

03n°�001 — audit, risques & contrôle — 1er trimestre 2015

05 EDITO

Le monde de la Francophonie a son nouveaumédia

06 CHRONIQUE

Conformité : être conscient des organisations àrisques

08 VOIX DE LA FRANCOPHONIE

Pour partager plus et mieux

10 OUVERTURE SUR LE MONDE

L’audit interne de l’ESA

13 RENCONTRE AVEC ...

Abdellatif Jouahri, Gouverneur de Bank Al-Maghrib

19 DOSSIER

20 La conformité est devenue une préoccupationmajeure des dirigeants

24 Développer la conformité sans étoufferl'ardeur des opérationnels

28 Maîtriser les enjeux et satisfaire aux exigencesréglementaires

31 La conformité, acteur de premier plan dans ledispositif de contrôle interne bancaire

33 L'audit de conformité : une implication deplusieurs acteurs

38 À LA DÉCOUVERTE DE ...

Direction de l’audit interne de ATM Mobilis :Une confiance à gagner, une légitimité et unecrédibilité à construire

41 BONNES PRATIQUES

Audit de la Supply Chain

45 ACTUALITÉ

19 DOSSIERLa conformité : une préoccupationmajeure des dirigeants

Gestion des Risques :Auditeurs internes, le comité d’auditet la direction générale comptentsur vous !

POUR EN SAVOIR PLUS ...

Rendez-vous sur le site internet de l’IFACI(www.ifaci.com)

à la rubrique « Carrière + Diplômes ».

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Pat

y W

ingr

ove

- Fot

olia

.com

Norme 2120 – Management des risques : L'audit interne doit évaluer l’efficacité des processus demanagement des risques et contribuer à leur amélioration.

Afin de renforcer la capacité des auditeurs internes à exercer efficacement leurs responsabilités enmatière d’évaluation des processus de management des risques, l’IIA a développé la certificationCRMA (Certification in Risk Management Assurance).

Le CRMA est un examen de 2 heures, composé de 100 Questions à Choix Multiples. Il est conçu pourles auditeurs internes et les professionnels de la gestion des risques qui interviennent sur lespérimètres de l’évaluation des risques, sur les processus de gouvernance, sur l’évaluation de la qualitéet l’auto-évaluation des contrôles.

Marquez des points !Détenir le CRMA vous permettra de démontrer votre professionnalisme dans le domaine del’évaluation de la gestion des risques, et plus particulièrement votre capacité à :

évaluer la maîtrise des risques et la gouvernance des processus métiersde votre organisation ;

sensibiliser la direction et le comité d’audit aux concepts liés auxrisques et à la maîtrise des risques ;

vous centrer sur les risquesstratégiques de l’organisation ;

apporter encore plus de valeurajoutée à votre organisation.

EDITO

05

Dans le rapport « La Francophonie et la Francophilie, moteur de la crois-sance durable», remis en août 2014 à François Hollande, Président dela République, il était affirmé : « aujourd’hui la Francophonie est, avec 230millions, le sixième espace géopolitique par sa population […] il peut deve-

nir le quatrième, à l’horizon 2050, avec une population de 770 millions », cette crois-sance provenant essentiellement des pays francophones africains.

Depuis 1988, avec l’UFAI (Union Francophone de l’Audit Interne), des liens étroitsont été tissés avec tous les instituts francophones, créant une communauté d’en-traide, et d’intérêts partagés, pour le plus grand bénéfice de tous. Dès le débutdes années 90, il avait été envisagé de transformer la revue française de l’auditinterne en revue francophone mais les esprits n’étaient pas encore prêts à franchirle pas. C’est chose faite aujourd’hui, la revue de l’IFACI : « Audit & ContrôleInternes » devient revue internationale « Audit, Risques & Contrôle ».

Nous voulons que cette revue soit une tribune offerte à tous les professionnelsfrancophones de la maîtrise des risques, tout en l’ouvrant aux meilleures plumesétrangères. C’est ainsi qu’à la rubrique « La voix de la Francophonie » où s’expri-mera régulièrement le/ou la président(e) de l’UFAI, actuellement la canadienneMireille Harnois, répondra la rubrique « Ouverture sur le Monde ».

Dans ce premier numéro, vous pourrez lire le très riche entretien avec AbdellatifJouahri, Gouverneur de Bank Al-Maghrib (Banque Centrale Marocaine).Abordant dans un premier temps certains sujets macroéconomiques tels que lasanté du système bancaire africain ou les grands enjeux du système bancairemarocain, il en vient très rapidement à traiter de la maîtrise des risques à laBanque centrale et dans les banques commerciales, en soulignant : l’importanced’une bonne gouvernance ; le rôle du Comité d’audit ; le nécessaire renforcementdes fonctions de contrôle interne ; l’articulation au sein de Bank Al-Maghrib destrois grandes fonctions de la maîtrise des risques : conformité, gestion des risques,audit interne ; la grande proximité du gouvernement de la Banque Centrale avecl’audit interne considéré comme « le gardien du Temple ». A l’évidence, cet entre-tien devrait intéresser le plus grand nombre.

Le « Dossier » sera consacré à la Conformité, l’une des préoccupations majeuresdes dirigeants d’aujourd’hui. Constitué de cinq articles, il traite en profondeurtant les audits de conformité que l’audit de la conformité, en mettant en exerguel’interaction de l’audit interne avec les différentes lignes de maîtrise.

Je pense que vous lirez avec une certaine curiositécomment fonctionne la direction de l’audit interned’ATM Mobilis, société filiale d’Algérie Télécom. Saresponsable, Nour-Elhouda Garici Boughalem, inti-tule son article « une confiance à gagner, une légiti-mité et une crédibilité à construire », expressionréaliste, s’il en est, du challenge que doit relever en

permanence la profession.

Vous lirez également dans ce numéro, la chro-nique d’Antoine de Boissieu qui nous invite àêtre conscient des organisations à risques ;mais aussi l’article traduit de la revue Audit &Risk de l’IIA UK, consacré à l’audit interne del’Agence Spatiale Européenne (ESA) ; ainsiqu’un article portant sur l’audit de la SupplyChain.

Bonne lecture.

Louis Vaurs - Rédacteur en chef

Le monde dela Francophonie ason nouveau média

n°�001 — audit, risques & contrôle — 1er trimestre 2015

audit, risques & contrôleLa revue internationale des auditeurs et des contrôleurs internesn°001 - 1er trimestre 2015

EDITEURUnion Francophone de l’Audit Interne (UFAI)Association Loi 190198 bis, boulevard Haussmann - 75008 Paris (France)Tél. : 01 40 08 48 00 - Mel : [email protected] : www.ufai.org

DIRECTEUR DE PUBLICATIONMireille Harnois

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

COMITÉ RÉDACTIONNELLouis Vaurs - Mireille Harnois - Eric Blanc -Antoine de Boissieu - Jean-Loup Rouff

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 06 15 04 56 32 - Mel : [email protected]

CORRESPONDANTSAmérique : Farid Al MahsaniMaghreb : Nourdine KhatalAfrique subsaharienne : Fassery Doumbia

RÉALISATIONEBZONE Communication22, rue Rambuteau - 75003 ParisTél. : 01 40 09 24 32 - Mel : [email protected]

IMPRESSIONImprimerie de ChampagneRue de l’Etoile de Langres - ZI Les Franchises52200 Langres

ABONNEMENTMichèle Azulay - Tél. : 01 40 08 48 15Mel : [email protected]

Revue trimestrielle (4 numéros par an)ISSN : en coursDépôt légal : avril 2015Crédit photos couverture : © Sergey Nivens - Fotolia.com

Prix de vente au numéro : 25 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle,faite sans le consentement de l’auteur, ou de ses ayants droits,ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er del’article 40). Cette représentation ou reproduction, par quelqueprocédé que ce soit, constituerait une contrefaçon sanction-née par les articles 425 et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

06 1er trimestre 2015 — audit, risques & contrôle - n°�001

CHRONIQUE

Ce premier numéro de larevue « Audit, Risques &Contrôle » est consacréà l'audit de la confor-

mité. Ce thème reste d'actualitédébut 2015, avec son lot d'af-faires liées à des pratiques inter-dites en tout genre : ententes,corruption, pratiques commer-ciales abusives, violations de bre-vets ou de propriétéintellectuelle, conditions de tra-vail inhumaines, pollution, miseen danger des consommateurs,vol de données...

La liste des grandes sociétésinternationales citées ou misesen cause à un titre ou à un autreest longue. Citées dans l'actualitéen 2015, on trouve déjà Orange,Siemens, Allianz, GlaxoSmithKline, Apple… (Cf. tableauci-contre).

Les risques de conformité sontdifficiles à auditer : ils sont sou-vent dissimulés, ils laissent peude traces, ils peuvent se logerderrière des particularités locales :ils sont donc difficiles à mettre enévidence. Dans certains cascependant, les risques se voientcomme le nez au milieu de lafigure. C'est dans ce cas là que lesauditeurs ont un devoir de vigi-lance, et doivent bien identifierles risques en préparation de mis-sion.Prenons par exemple les risques

liés à la conformité au droit dutravail. Une affaire gigantesque afait la une de l'actualité ces der-nières années : il s'agissait d'uneclass action intentée par 1,5 mil-lion d'employées contre Wal-Mart aux Etats-Unis, pourdiscrimination. Rétrospective-ment, d'énormes indices permet-taient de suspecter un risque fort.

Wal-Mart : desresponsabilitésredescendues dansl'organigramme

L'organisation de Wal-Mart étaitainsi faite qu'elle permettait, et,selon les plaignantes, qu'elle inci-tait, à la prise de risque. Le groupeexploite plusieurs milliers desupermarchés aux Etats-Unis. Lesdirecteurs de supermarché sontsitués à un niveau assez bas dansl'organigramme, N-6 ou N-7 parrapport au PDG du groupe. Leursresponsabilités et leur pouvoir deprise de décision sont très limi-tés : ils ne décident ni de l'implan-tation du magasin, ni desproduits vendus, ni de l'assorti-ment, ni des prix de vente (ou àla marge), ni des fournisseurs, nides actions de communication.En revanche, ils sont responsa-bles de leur personnel : ils choi-sissent qui embaucher, à quelsalaire, pour quels horaires, à quelstatut, ils suivent le temps de tra-vail et évaluent les collaborateurs.

Conformité :être conscient

des organisationsà risques

Sociétés Faits

Orange (France) Condamnation en France à une amende de 60M€ pour abus de position dominante.

Allianz (France)Condamnation à une amende de 50 M€ pour nepas avoir recherché activement les bénéficiairesde contrats d'assurance-vie en déshérence.

Petrobras (Brésil) Démission de la direction générale dans uneaffaire de 4 milliards sur-facturations.

Uniqlo(Japon / Chine)

Mise en cause pour des conditions de travailinacceptables chez deux sous-traitants chinois.

Pharmacie(Inde / Europe)

Suspension de la commercialisation de dizainesde médicaments génériques, faute de garantiesur la qualité des données produites par dessous-traitants indiens.

Minshen Banking(Chine)

Démission du président de la première banque privéechinoise, mis en cause dans une affaire de corruption.

HSBC (R.U. / Suisse)

Mise en cause de la filiale suisse de la banque pourdes montages d'évasion fiscale à grande échelle.

Qualcomm(E.U. / Chine)

Amende d'1 milliard de dollars en Chine pourabus de position dominante.

Lenovo (Chine) Accusation d'avoir installé un logiciel publicitairerendant les ordinateurs vulnérables au piratage.

BanqueEnquête aux E.U. contre 10 grandes banquessoupçonnées d'avoir manipulé le marché desmétaux précieux.

Apple (E.U.) Condamnation par un tribunal texan à 550 M$ dedommages et intérêts pour violation de brevet.

Man, Scania,Daimler

Enquête de la commission européenne sur uncartel des fabricants de camions – rumeurs d'uneamende record de 4 milliards €.

Yoplait, Lactalis,Senoble

L'Autorité de la Concurrence inflige une amendede 190 M€ à une dizaine de fabricants de yaourts.

Apple (E.U.),Ericsson

Plainte d'Ericsson contre Apple pour violation debrevets ; Ericsson réclame 650 M$.

Siemens,Rheinmetall(Allemagne / Grèce)

Rumeurs d'exclusion des marchés publics enGrèce, pour corruption.

Commerzbank(Allemagne / E.U.)

Amende de 1,4 mrd $ aux Etats-Unis pourviolation d'embargo.

GlaxoSmithKline(R.U. / Chine)

Licenciement de 110 collaborateurs en Chine,après une amende de 400 M$ pour corruption demédecins et d'hôpitaux prescripteurs.

Gemalto (victime)– NSA (E.U. /France)

Chute du cours de bourse de Gemalto après larévélation que la NSA (National Security Agency)aurait dérobé des clefs de chiffrement des cartesSIM fabriquées par Gemalto.

CHRONIQUE


Une pression sur lesmanagers de terrain

Lorsque l'on fixe à ces managersdes objectifs de chiffre d'affaireset de marge, leur principal, voireleur unique levier d'action sesitue donc dans la gestion desressources humaines. Le risquede non-conformité en matière deRH a donc été redescendu, épar-pillé pourrait-on dire, entre 6 000managers de terrain, dont c'est leseul levier d'action, sans contrôleréel des fonctions centrales ourégionales. Il ne faut pas s'éton-ner si des dérives sont consta-tées. Le siège peut toujoursexpliquer qu'elles sont limitées,exceptionnelles, le fait de mana-

gers qui n'ont pas respectél'éthique et les valeurs dugroupe : l'organisation mise enplace était néanmoins faite pourpermettre cette prise de risque,et en laisser la responsabilité àdes exécutants de bas niveaudans l'organigramme.

Une absence d'objectifset d'indicateurs

Le risque était d'autant plus grandqu'il n'était pas vraiment piloté : iln'y avait pas d'indicateurs perti-nents permettant de repérer oud'analyser d'éventuels risques denon-conformité à la réglementa-tion. Les plaintes, transactions,licenciements, condamnations…n'étaient pas consolidés. Les direc-teurs de magasin n'avaient pasnon plus ces indicateurs dans leursobjectifs individuels. Autrementdit, un objectif de conformité étaitbien affiché, mais personne n'étaitpénalisé à court terme si l'objectifn'était pas atteint. Pour des mana-gers de terrain qui n'ont pas d'au-tres marges de manœuvre, celapeut être vu comme une incita-tion à la prise de risque réglemen-taire.

Une organisationrépandue dans d'autressecteurs

On retrouve le même type d'orga-nisation et les mêmes méca-nismes dans certains secteurs qui

sont souvent suspectés d'ententeset de corruption, par exempledans le BTP. Certaines majors ontainsi une organisation très décen-tralisée, avec une multitude defiliales, chacune intervenant sur unmarché local dans une spécialitédonnée. Il est évident que cetteorganisation fait courir le risqueque les patrons de filiales échan-gent un peu trop avec leursconcurrents, ou qu'ils établissentdes liens « inappropriés » avec cer-tains donneurs d'ordre, par exem-ple dans les collectivités publiques.Dans ce contexte, les objectifs enmatière de conformité, les indica-teurs de mesure utilisés et les outilsde détection mis en place par lesfonctions centrales sont, commedans le cas de Wal-Mart, souventinsuffisants, voire inexistants. Lasituation évolue cependant enEurope, largement sous la pressiondes autorités de la concurrence.

L'externalisation durisque de conformité

On pourrait appliquer le mêmeraisonnement à l'externalisationde la fabrication dans des pays àbas coûts. L'externalisation poseévidemment la question du res-pect du droit du travail et de l'en-vironnement par les sous-traitants, a fortiori si les donneursd'ordre ne se sont pas dotés desmoyens de contrôle et ne se sontpas fixés d'objectifs mesurablesen la matière. Là aussi, la situation

évolue, au fur et à mesure desaffaires qui font revenir le risqueen boomerang aux donneursd'ordre (incendies auBangladesh, impact de la produc-tion d'huile de palme sur l’envi-ronnement...).

Repérer lesorganisations à risque

Toute organisation a des avan-tages et des inconvénients : l'au-dit et le contrôle interne doiventbien identifier les gros risques liésà certains types d'organisation.Leur rôle n'est pas de remettre encause l'organisation, qui a par ail-leurs d'autres avantages ; dans lecas de Wal-Mart ou du BTP, ladécentralisation permet une agi-lité, une vitesse de prise de déci-sion, une proximité des clients,que l'on perdrait dans une orga-nisation plus centralisée. Le rôlede l'audit est de valider que, vules risques inhérents à l'organisa-tion, on a bien pris les mesuresnécessaires pour en permettreune bonne maîtrise. Les audi-teurs et contrôleurs internes doi-vent notamment bien analyserles objectifs fixés et les indica-teurs de mesure utilisés, pourvérifier s'ils incitent effectivementà ne pas prendre trop de risques,et s'ils permettent de détecterune prise de risque excessive.

Antoine de Boissieu

© R

awpi

xel -

Fot

olia

.com


VOIX DE LA FRANCOPHONIE

VOIX DE LA FRANCOPHONIE


L’Union Francophone del’Audit Interne (UFAI) a étécréée il y a plus de vingtcinq ans dans le but de

disposer d’une plateforme decoopération entre les pays fran-cophones. Durant ces annéestout le contexte a évolué àgrande vitesse et conséquem-ment la profession.

En effet, au cours de la dernièredécennie, la complexité des opé-rations, l’émergence de nouvellestechnologies et les exigencescroissantes des normes profes-sionnelles, réglementaires etlégales ont entraîné de multiplesresponsabilités additionnellespour les administrateurs et diri-geants. Ces éléments, combinésaux scandales et crises finan-cières ainsi que la lutte contre lafraude et la corruption ont forcél’amélioration de la gouvernanced’entreprise et les pays franco-phones n’y font pas exception. Enconséquence, le rôle et la per-ception de l’audit interne ontsubi une transformation majeure.L’audit interne est de plus en plusreconnu comme une fonctionessentielle au succès des organi-sations.

Pour bien répondre aux défisémergents, le besoin de partager

est crucial afin d’anticiper et des’adapter aux transformations.

Dans sa mission de promouvoiret de développer la pratique del’audit interne, l’UFAI permet derassembler les organismes et lesauditeurs dans la francophonieafin de créer un réseau répon-dant aux besoins grandissantsdes professionnels tout en consi-dérant les particularités locales.

Dans cette ligne de pensée, leconcept populaire « pensez glo-balement pour agir localement »sied tout à fait au réseau de l’UFAI.

Peu importe le pays ou le conti-nent, l'actualité nous entraîne àtraiter des mêmes sujets oupréoccupations, d'où l'impor-tance d'établir un large réseau ausein duquel nous pouvonséchanger des connaissances etbénéficier particulièrement del’expérience de chacun pouraméliorer constamment nosfaçons de faire et notre façon depenser.

Que ce soit par le biais de sémi-naires de formation, de col-loques, de travaux de rechercheou par l’accessibilité au matérielfrancophone, l’UFAI parvient àtisser des liens entre auditeursfrancophones et met à profit lesexpertises de chacun pour le plusgrand bénéfice de tous. Pour évoluer et s’accomplir, quellerichesse de pouvoir compter surun tel réseau francophone ! Jeprofite de cette tribune poursaluer les quatre présidentsmembres fondateurs (France,Maroc, Montréal et Tunisie) decette Union qui, en 1988, avait

une vision bien claire. Ils ont pavéla voie pour nous. Depuis, desgens dévoués continuent de s’in-vestir constamment afin de pour-suivre l’œuvre francophone.

Dans le but d’accroître le nombrede publications disponibles enlangue française et d’en assurerune plus vaste diffusion, l’UFAI estheureuse de participer au lance-ment de cette nouvelle revue

internationale « Audit, Risques &Contrôle » qui vient renforcer l’es-prit de coopération internatio-nale francophone.

Cette revue vise un lectorat élargiqui comprend notamment tousles métiers de la gestion desrisques, du contrôle interne et dela gouvernance des organisa-tions.

Ultimement, cette collaborationinternationale francophonepermet d’élargir notre vision afinde mieux répondre aux préoccu-pations des parties prenantes.

Vous pouvez participer au succèsde cette nouvelle revue en nousfaisant part de vos commentaires,de vos suggestions et surtout enacceptant de partager vos expé-riences et expertises par le biaisde cette dernière.

Bon succès à cette nouvellerevue et bonne lecture à voustous !

Pour partagerplus et mieuxMireille Harnois, Présidente de l’Union Francophone de l’Audit Interne

L’UFAI permet de rassembler les organismes et les auditeurs dansla francophonie afin de créer un réseau répondant aux besoinsgrandissants des professionnels tout en considérant lesparticularités locales»«


L’Agence Spatiale Euro-péenne (« ESA » dans sonacronyme anglais) a célé-bré son 50ème anniversaire

en 2014. Cette agence est uneorganisation internationale,formée de 20 pays européens, laplupart étant membres de l’U.E.En mutualisant et coordonnantles ressources financières et intel-lectuelles de ses membres, elleest capable de gérer des pro-grammes qui dépasseraient lescapacités d’un état seul. Parmices programmes ambitieux etinnovants, on peut citer le projetRosetta, l’accostage réussi desastronautes européens sur la sta-tion spatiale internationale, ou laréussite commerciale d’Ariane 5,capable de lancer deux satellitessimultanément.

Très haute technologieet innovation

Vu l’activité de l’ESA, il n’est passurprenant que les risques tech-niques soient au cœur de l’acti-vité de l’audit interne.

« Le suivi et l’évaluation des risquestechniques est une priorité pourl’audit interne » témoigne ainsiCristobal Martin-Rico, le directeurde l’audit interne de l’ESA. « Lesprojets menés par l’agence n’ontjamais été réalisés auparavant : iln’y a donc pas de précédents quipermettraient de prédire les difficul-tés, ou de juger du caractère réaliste

des objectifs fixés. Ce sont de plusdes projets intrinsèquement risqués,coûteux, et avec des cycles de vielongs. Par conséquent, nous nedevons pas seulement auditer lagestion des projets et le déploie-ment des processus de gestion deprojet : nos audits portent aussi surl’évaluation des risques par leséquipes Projet, sur le reporting deces risques, et sur les contrôles etprocédures de maîtrise associés. »

« Les risques liés à la sous-traitanceet aux fournisseurs sont aussi unpoint clef de l’approche de gestiondes risques de l’ESA », selonCristobal Martin-Rico. « Nousdevons vérifier que les sous-trai-tants sont capables de remplir leursmissions : ont-ils l’expertise tech-nique et la gamme de produitsdont nous avons besoin ? Peut-onchanger rapidement de fournisseuren cas de besoin ? L’équipe « assu-rance produit » de l’ESA est chargéede ces questions : l’audit internerevoit leur travaux, généralementune fois par an. »

Les métiers de l’ESA ont beauêtre de haute technologie,l’Agence n’en reste pas moinsexposée à des risques plus ordi-naires, notamment des risquesfinanciers et des risques liés à laconformité. « Nous devons êtrerigoureux sur le respect des budgetset des calendriers financiers »déclare Cristobal Martin-Rico.« Les projets de l’ESA comportent

L’auditinterne del’ESA

Par Neil Hodge

Beaucoup de services d’audit revoient des projets au budgetastronomique ; mais peu peuvent se vanter d’auditer réellementle lancement de fusées, la mise en orbite de satellites ou lesvoyages vers la station spatiale internationale. Il s’agit pourtantdu quotidien des auditeurs de l’Agence Spatiale Européenne.

© E

SA–S

. Cor

vaja

, 201

5

rement brillantes. Nous ne préten-dons pas être experts en quoi quece soit, si ce n’est en contrôle interneet gestion des risques. Notre mis-sion est donc de vérifier que lescontrôles appropriés sont en place,et d’obtenir l’assurance que tous lesrisques organisationnels plus larges– et pas seulement les risques tech-niques – sont bien identifiés, suiviset maîtrisés. »

Cristobal Martin-Rico note que« on accepte que les auditeursinternes n’aient pas les connais-sances ou l’expérience pour auditerles spécificités des projets menés ausein de l’ESA. » Cependant, fait-ilremarquer, « il est important quel’audit interne revoie le travail desautres services, y compris les autresservices donnant une assurance,pour vérifier que les risques tech-niques sont identifiés, suivis et gérésde façon appropriée, et que lesrisques plus larges pour l’agence etses projets ne sont pas négligés. »

On peut certes être intimidé parle très haut niveau de technicitédes sujets à auditer. « Nous avonsdes listes de risques qui font 300pages pour certains projets. La plu-

part sont des risques techniques liésà des points spécifiques ou à desactivités de niche » expliqueCristobal Martin-Rico. « Ces revuesde risques permettent de donnerune assurance sur les risques tech-niques des projets. Cependant,nous devons vérifier que la revue deprojet – et les autres services déli-vrant une assurance – va au delàdes aspects techniques. Ils doiventaussi envisager l’impact des risquesexternes : par exemple, des retards,dépassements de coût, difficultésde trouver une source alternativepour des équipements clef, impactdes technologies nouvelles oudépassées… »

Evaluer la deuxièmeligne de maîtrise

L’audit interne doit aussi mainte-nir de bonnes relations de travailavec les autres services fournis-seurs d’assurance. Au total, l’ESAa plus de 150 collaborateurs tra-vaillant dans les 2ème et 3ème lignesde défense. La deuxième ligne dedéfense se compose du servicede conformité, qui s’assure de laconformité aux règles financièreset en matière d’achats, du service

Assurance Produit, des auditeursqualité ISO, et de l’inspecteurgénéral, chargé de conduire desrevues de projet et d’évaluer lesrisques techniques. L’auditinterne est chargé d’auditer tousles types de processus, et de véri-fier que les risques, quelque soitleur nature, sont gérés de façonefficace et que le niveau decontrôle interne est satisfaisant.

« Nos audits sont longs, et ont despérimètres larges » explique NickWaldron. « Ce sont des revuesapprofondies des risques, contrôleset questions de gouvernance. Lesaudits peuvent porter sur un projetou un service spécifiques, ou êtretransversaux. Nous utilisons laméthodologie du COSO, et nousavons une approche classique, eninteraction permanente avec lesaudités. Les missions se terminentpar un atelier de travail avec lesaudités, très intensif, qui permet definaliser le rapport d’audit et lesplans d’actions des audités, et d’ob-tenir leur validation par la direc-tion. »

Dans le cadre de cette approche,l’audit interne de l’ESA a réalisé

des risques techniques importants,et vu le cycle de vie de certains pro-jets – qui peuvent s’étendre sur 10ans, voire plus – nous devons êtreen veille permanente sur les risquesémergents : les impacts potentielssur les budgets et sur les délais peu-vent en effet être considérables. »

Conserver la crédibilitéde l’audit interne

Dans toute organisation, il estimportant que l’audit internegarde une bonne réputation etconserve sa crédibilité. Cela l’esttout spécialement à l’ESA. « Noustravaillons dans une organisationqui emploie certaines des per-sonnes les plus intelligentes aumonde, déterminées à atteindredes objectifs qui n’ont jamais étéatteints auparavant : il est impor-tant que l’audit interne ne soit pasvu comme une barrière à la réalisa-tion des projets » explique NickWaldron, l’un des auditeurs del’agence.

« Notre crédibilité est importante, etce n’est pas une bonne idée deposer des questions bêtes quand ona à faire à des personnes particuliè-

OUVERTURE SUR LE MONDE


© E

SA-N

ASA


OUVERTURE SUR LE MONDE

une cartographie des risques etdu périmètre couverts par ladeuxième ligne de maîtrise. « Enraison du nombre de services quiparticipent à la deuxième ligne demaîtrise, il est important que l’auditinterne ait une bonne compréhen-sion de la façon dont les risquessont identifiés, évalués et mis souscontrôle par ces différents acteurs.Nous regardons aussi comment cesdifférents services remontent lesrisques à la direction générale et auconseil : nous voulons en effet nousassurer que ces derniers sont infor-més correctement et à temps pourune prise de décision » expliqueNick Waldron.

D’après Cristobal Martin-Rico, ilest clair – et le conseil d’adminis-tration en a bien conscience –que l’audit interne est la 3ème etdernière ligne de défense, mêmes’il s’agit du plus petit des servicesde risques et de contrôle. L’auditinterne est rattaché directementà Jean-Jacques Dordain, le direc-teur général de l’agence. « Si nousnous appuyons dans nos missionssur les évaluations réalisées par les

services de la deuxième ligne demaîtrise, nous réalisons des revuesrégulières de leur façon de travailler.Nous n’avons pas peur d’auditer ladeuxième ligne de maîtrise »affirme Cristobal Martin-Rico.

Outre de bonnes relations et unerépartition claire des responsabi-lités avec les services de ladeuxième ligne de maîtrise, il estégalement crucial de disposerd’un système de gestion et dereporting des risques (ERM).« Nous avons la chance d’avoir undispositif d’ERM qui est bien com-pris à l’Agence, avec une bonneappropriation par le managementsuivant une approche « top-down » » explique CristobalMartin-Rico. « Nous avons aussi lachance que, en raison de la naturede leur travail, les collaborateursont une bonne compréhension etune bonne appréciation du risque,et qu’ils partagent une vision com-mune. »

« Les personnes qui font l’ESA sontdes scientifiques et des expertstechniques : ils sont conscients de

l’importance de bien valider lesinformations et les méthodesemployées pour les produire. S’ilsvoient le moindre problème, ils ontle réflexe de le remonter à la hiérar-chie » explique Waldron. « Cela faci-lite beaucoup notre travail : lescollaborateurs ont déjà l’habitudede remonter les problèmes et les

alertes sur les risques à la hiérarchie.Ils ne se formalisent donc pasquand on leur demande de faire lamême chose avec des informationsgénérales, lors des audits. »

L’équipe d’audit de l’ESA : un vivier de compétences

Avec une équipe de 4 auditeurs – y compris le responsable duservice – l’audit interne est petit comparé aux autres services derisques et contrôle de l’ESA. Les auditeurs ont cependant unchamp de compétences très vaste, notamment en termes delangues ou d’expérience professionnelle, que ce soit dans le sec-teur privé ou dans le secteur public.

L’Italien Corrado di Giulio, auditeur senior, a ainsi 20 ans d’expé-rience en audit, alors que la Française Lucie Lanctin a rejointl’équipe en 2010 après avoir travaillé en audit externe chez PWCet en Chine. L’Anglais Nick Waldron a débuté sa carrière d’auditeurinterne à la Forestry Commission, avant de travailler à l’UNESCOet à l’Organisation pour la Prohibition des Armes Chimiques.L’Espagnol Cristobal Martin-Rico était auparavant ingénieur ensystèmes aéronautiques et chercheur, avant de prendre des fonc-tions de management, puis de rejoindre l’audit interne. Il travailledepuis 15 ans pour l’ESA. Il a aussi une expérience d’administra-teur : « J’ai été président du conseil de petites sociétés du secteuraéronautique en Espagne et au Royaume-Uni, et membre du conseild’une autre société en France. Cette expérience m’a donné une visionbeaucoup plus large de la gestion d’entreprise, et m’a permis de com-prendre ce qu’un conseil d’administration attend de ses services derisques, audit et contrôle. »

© E

SA–M

. Ped

ouss

aut,

2015

Cet article est traduit de la revue « Audit &Risk », de l’IIA UK

RENCONTRE AVEC ...


Louis Vaurs : Monsieur leGouverneur, vous êtes à la têtede l’une des plus importantesbanques centrales africaines.Quel regard portez-vous sur lasanté du système bancaire d’uncontinent en pleine mutation,disposant de ressources considé-rables, humaines notamment etqui n’a pas connu, commel’Europe, la terrible crise des sub-primes de 2008 ?

Monsieur le Gouverneur : Aucours des dix dernières années, lesecteur bancaire africain a réalisédes avancées considérables. Sonactivité a presque triplé etcomme vous l’avez souligné, il n’apas été affecté par les effets de lacrise qui a éclaté depuis 2008.Avec un taux de bancarisation etun ratio de crédit sur PIB encorefaibles, le secteur bancaire afri-cain dispose d’un potentiel de

croissance important. Les récentsdéveloppements, inscrits sous lesigne de partenariats Sud-Sudrenforcés, induisent une transfor-mation de l’industrie bancaire enAfrique et l’émergence degroupes bancaires d’envergurepanafricaine.

De mon point de vue, de telsdéveloppements devraient per-mettre une diversification de l’of-fre bancaire dans le continent, undéveloppement de l’inclusionfinancière des populations et unmeilleur financement des écono-mies locales. Ces évolutions, sielles sont favorables tant auxpays d’accueil qu’à leurs parte-naires devraient, toutefois, s’ins-crire dans un processus derestructuration, de consolidationet de mise à niveau des pratiquesbancaires et des normes et dis-positifs de gestion des risques y

afférents dans les pays concer-nés.

A cet égard, je considère que larégulation et la surveillance desbanques transfrontalières, auniveau du continent, s’avèrentparticulièrement importantes.Les cadres de réglementation etde contrôle bancaires devraientêtre rehaussés en conséquenceet les relations entre les autoritésde surveillance des pays d’origineet des pays hôtes devraient serenforcer davantage pour per-mettre la prévention des difficul-tés des banques ou, à tout lemoins, réduire leurs impacts.

Bank Al-Maghrib, qui est encharge de la supervision du sec-teur bancaire marocain, y travailleétroitement avec ses homo-

logues africains. En sus de lasupervision qu’elle exerce surbase consolidée sur les banquesmarocaines implantées à traversle continent, elle a mis en placeune supervision transfrontalièrespécifique, conforme aux meil-leurs standards, fondée surl’échange d’informations et lacoordination, les contrôles surplace conjoints avec les autoritéshomologues et l’institution decollèges de superviseurs.

L. V. : La faible croissance de l’éco-nomie de la zone Euro, principalpartenaire du Maroc est-elle unobstacle majeur au développe-ment de l’économie marocaine ?

M. le G. : Effectivement, la zoneEuro est le principal partenaireéconomique du Maroc. En 2013,

Abdellatif Jouahri, Gouverneur de Bank Al-Maghrib

Pour une supervisionconforme auxmeilleurs standards

Concomitamment aux avancées réalisées dans le secteur ban-caire africain, dont l’activité a triplé au cours des dix dernièresannées, le secteur bancaire marocain a fait l’objet d’une restruc-turation en profondeur. Il est assujetti à un cadre légal et régle-mentaire ainsi qu’à un dispositif de supervision, alignés sur lesnormes internationales. Ce cadre lui permet de consolider, enpermanence, son assise financière et de rehausser ses normesde gestion des risques en s’appuyant plus particulièrement surla direction de l’audit interne et des risques, « gardien duTemple » en matière de contrôle et de maîtrise des risques.


RENCONTRE AVEC ...

jour davantage, comme entémoigne le succès qui ne cessede se confirmer de CasablancaFinance City.

L. V. : Quels sont les grandsenjeux pour le système bancairemarocain ?

M. le G. : Il n’est pas inutile de rap-peler que le secteur bancairemarocain a fait l’objet, au coursdes quinze dernières années,d’une restructuration en profon-deur qui a débouché sur destransformations dans la structurede son actionnariat, avec un dés-engagement progressif de l’Étatet a permis l’émergence d’unpôle de banques commercialessolide et performant avec uneprésence au niveau régional etcontinental. Le secteur est assu-jetti à un cadre légal et réglemen-taire ainsi qu’à un dispositif desupervision, alignés sur lesnormes internationales. Ce cadrelui permet de consolider, en per-manence son assise financière etde rehausser ses normes de ges-tion de risques.

Le système bancaire a d’ailleursfait preuve d’une bonne rési-lience face à la crise internatio-nale et a continué, en dépit d’uneconjoncture économique diffi-cile, à assurer le financement del’économie. Le rapport du créditbancaire au PIB est passé de 51 à86 %, en l’espace de 15 ans et les

crédits aux entreprises ont plusque triplé. Il a contribué à l’amé-lioration du niveau de la popula-tion à travers l’accès aux servicesfinanciers, le nombre d’habitantspar agences étant passé de15 000 à moins de 6 000, demême que le taux de bancarisa-tion a été multiplié par 3 pouratteindre aujourd’hui plus de62 %.

Ces efforts doivent se poursuivreet les banques sont amenées àdévelopper des produits inno-vants pour capter de nouveauxclients et rehausser davantageencore la bancarisation de lapopulation, notamment rurale età bas revenus. Cet objectif est,d’ailleurs, inscrit, parmi les priori-tés stratégiques de la banquecentrale et nous appuierons lesbanques pour relever ce défi.L’action en faveur du finance-ment des Toutes Petites etMoyennes Entreprises fait égale-ment partie des priorités de BankAl-Maghrib. Des avancées signifi-catives ont été réalisées en lamatière et nous continuerons à yœuvrer avec la contribution dusystème bancaire pour favoriserune croissance plus forte et plusinclusive de l’économie maro-caine.

L. V. : Parmi les grandes banquesmarocaines, on compte plusieursfiliales de banques internatio-nales, françaises notamment.

Ont-elles un dispositif de maîtrisedes risques différent des banqueslocales ? Une maturité ou uneapproche différente de cessujets ?

M. le G. : Le paysage bancairemarocain est constitué de 12banques à capital majoritaire-ment marocain et 7 banques pri-vées à capital majoritairementétranger. Ces dernières disposentde 18 % des actifs bancaires. Ellessont soumises aux mêmes dispo-sitions légales et réglementairesque celles applicables à leursconsœurs marocaines. Elles appli-quent, le plus souvent, lesmêmes procédures que leurmaison-mère, sans porter préju-dice aux normes locales qui sontd’ailleurs largement inspirées desstandards internationaux.

L. V. : Bank Al Maghrib est char-gée de contrôler l’activité desétablissements de crédit duMaroc et de s’assurer du bonfonctionnement de son systèmebancaire. Outre des contrôles surplace plus ou moins intrusifs, dili-gente-t-elle des « stress tests »comme vient de le faire laBanque Centrale Européennepour les banques de la zoneEuro ?

M. le G. : D’abord, il convient desouligner que Bank Al-Maghrib a,depuis 2010, fixé les normesminimales qui doivent régir les

elle a été la destination de 56 %de nos exportations et la sourcede 44 % de nos importations. Elleabrite une communauté maro-caine importante et est à l’originede 66 % des touristes étrangersqui se rendent dans notre pays.Elle est également une sourceprincipale des flux entrants d’in-vestissements directs étrangers. Ilest donc naturel qu’il y ait uneforte synchronisation de noscycles de croissance.

Pour vous donner une idée, lacorrélation entre la croissanceglobale de la zone Euro et cellenon agricole au Maroc dépasse60 % sur la période de 2000 à2014. Ceci dit, le Maroc entre-prend depuis plusieurs annéesd’importants efforts pour diversi-fier ses partenaires et les débou-chés pour ses exportations. Cesefforts ont commencé à porterleurs fruits, comme en témoi-gnent les mutations de la struc-ture de notre commerceextérieur. Des pays comme l’Indeou le Brésil ou encore les Etats-Unis figurent aujourd’hui parminos principaux clients. Du côtéimportations, la Chine, par exem-ple, est devenue le troisièmefournisseur de notre pays alorsque la Turquie s’est hissée à laneuvième position. En outre, leMaroc se tourne de plus en plusvers l’Afrique, capitalisant sur sesliens historiques et politiquesavec les pays du continent. Notresystème bancaire est présentdans 23 pays et réalise près de20 % de son résultat en Afrique.

J’ajouterai que le Maroc a égale-ment renforcé ses liens avec lespays du Conseil de Coopérationdu Golfe avec lesquels il a signéun accord de partenariat straté-gique. D’ailleurs, les flux d’inves-tissements directs étrangers etles transferts des marocains rési-dant à l’étranger en provenancede cette région sont de plus enplus importants. Plus qu’un paysdu Sud ancré à l’Europe, le Marocambitionne aujourd’hui de deve-nir une porte d’entrée et un hubrégional liant le continent aureste du monde. Cette ambitionse concrétise d’ailleurs chaque

RENCONTRE AVEC ...


programmes de stress testsdevant être menés par lesbanques, elles-mêmes. Ces stresstests doivent être établis sur labase d'un éventail de scénariiselon différents degrés de sévé-rité en fonction des caractéris-tiques des risques évalués (crédit,marché, concentration, liquidité,taux d’intérêt…). Ils doivent êtreprospectifs et incorporer leschangements potentiels dans lacomposition des portefeuilles del’établissement ainsi que lesrisques qui ne découlent pas del'analyse historique. De plus, nousavons développé nos propresoutils de stress tests visant àapprécier la résilience du secteurbancaire à des chocs externes.Ainsi, des exercices de tests sontconduits, deux fois par an, pourévaluer la résistance des banquesà des chocs macro-économiquesou à des chocs spécifiques derisque, notamment de crédit, deliquidité ou transfrontaliers. Les

résultats sont soumis au comitéde stabilité financière interne à labanque centrale qui peut propo-ser toute mesure susceptibled’atténuer les risques systé-miques.

L. V. : En France, l’Autorité deContrôle Prudentiel et deRésolution (ACPR) porte uneattention toute particulière à lalutte contre le blanchiment descapitaux et le financement duterrorisme (LCB-FT). Qu’en est-ilde Bank Al Maghrib et plus géné-ralement des autres grandesbanques centrales africaines ?

M. le G. : En vertu des attributionsqui lui sont dévolues par la loibancaire et celle relative à la luttecontre le blanchiment de capi-taux, Bank Al-Maghrib a édicté, ily a plus d’une décennie, des dis-positions relatives à l’obligationde vigilance incombant aux éta-blissements de crédit qu’elle arévisées à deux reprises, en ligneavec les évolutions des standards

du GAFI. Ces dispositions exigentdes établissements de crédit etorganismes assimilés de disposerde systèmes internes de vigilancepermettant de prévenir lesrisques de blanchiment des capi-taux et de financement du terro-risme, de repérer les activitéssuspectes et d’en informer lesautorités compétentes.

Dans le cadre de sa mission decontrôle, des vérifications surplace, générales ou thématiques,sont assurées par Bank Al-Maghrib auprès des établisse-ments de crédit et assimilés, àl’effet de s’assurer de leur confor-mité aux dispositions légales etréglementaires en matière delutte contre le blanchiment decapitaux et le financement duterrorisme, y compris celles rela-tives à la déclaration de soupçonet à la communication d’informa-tions à l’Unité de Traitement et deRenseignement Financier. Des

évaluations sont égalementmenées régulièrement à distancesur la base d’un rapport sur laconformité et d’un questionnairedédié devant être transmis,chaque année, par les établisse-ments de crédit à la BanqueCentrale, et donnent lieu à unenotation communiquée à cesétablissements.

L. V. : A la suite de la crise finan-cière de 2008, il a été décidé,dans beaucoup de pays, de ren-forcer les fonctions de contrôleinterne et de maîtrise des risques.C’est ainsi qu’il a été donné desmoyens et des responsabilitésaccrus à la conformité et à la ges-tion des risques. Ce phénomènes’est-il répandu au Maroc et dansles autres grands pays africains ?

M. le G. : Effectivement, les ana-lyses et les études menées suiteà la crise de 2008 ont mis en évi-dence la nécessité de repenserles fondements de la régulationdes systèmes financiers et ont

ravivé les discussions sur le dispo-sitif de gouvernance au sein desbanques. Consciente de cetteproblématique, Bank Al-Maghriba œuvré, depuis 2007, avant lacrise internationale, à la transpo-sition des normes édictées par leComité de Bâle, en révisant lesdispositions relatives au contrôleinterne mises en place depuis2001 et en édictant des règles debonne gouvernance au sein desétablissements de crédit. En2014, compte tenu des enseigne-ments de la crise, elle a procédéà la révision de ces exigences etce, pour renforcer le rôle et l’indé-pendance des fonctions decontrôle et de gestion desrisques au sein des établisse-ments de crédit. Elle a aussirehaussé leurs normes de gou-vernance. On peut citer, à cetégard, l’institution d’un comitérisques émanant de l’organed’administration ou la présenced’administrateurs indépendantsau sein des organes d’administra-tion et de leurs comités spéciali-sés.

L. V. : Le Comité de Bâle a publiérécemment un documentconsultatif portant sur les grandsprincipes de la bonne gouver-nance des banques. Parmi les 13grands principes présentés, deuxconcernent spécifiquement lagestion des risques et l’auditinterne. Le Comité de Bâle rangela gestion des risques dans la« deuxième ligne » de défense etl’audit interne dans la « troisièmeligne ». Ce concept des 3 lignesde défense proposé par l’IIA (TheInstitute of Internal Auditors), est-ilmis en place dans les banquesque Bank Al-Maghrib supervise ?

M. le G. : Comme indiqué précé-demment, les récents textesédictés en 2014 par Bank Al-Maghrib ont intégré les principesbâlois de gouvernance prévalantdepuis 2010 et introduit égale-ment les nouveaux principesencadrant la gouvernance desrisques. En l’occurrence, lesconcepts des 3 lignes de défenseauxquelles vous faites référenceont été implicitement retracésdans ces nouveaux textes

puisque les établissements decrédit marocains ont l’obligationde mettre en place un dispositifde contrôle permanent au niveaudes entités opérationnelles qui avocation à constituer « la pre-mière ligne de défense » enmatière de contrôle interne et debonne gouvernance. Viennentensuite la fonction de gestiondes risques et l’audit interne quivisent à constituer respective-ment « la deuxième et troisièmeligne de défense » pour une ges-tion anticipative, par les établisse-ments de crédit, des risques qu’ilsencourent. Mieux encore, les éva-luations récentes réalisées auniveau des banques par leséquipes chargées du contrôlebancaire ont intégré d’ores etdéjà l’ensemble de ces principes.

L. V. : En France, l’ACPR vient depublier un nouveau documentsur le contrôle interne desbanques entendu dans sonacception la plus large. Dans cedocument, le Comité d’auditn’apparaît plus. Il est remplacé entant que tel par le Comité desrisques auprès duquel, gestion-naires des risques et auditeursinternes entretiennent des rela-tions particulières, relationsqu’auparavant les auditeursinternes entretenaient avec leComité d’audit. Une telle évolu-tion est-elle envisageable pour lesecteur bancaire du Maroc, leComité d’audit ne s’intéressantplus dès lors qu’au suivi de l’indé-pendance des commissaires auxcomptes, du processus d’élabora-tion de l’information financière etdu contrôle légal des comptes ?

M. le G. : Bank Al-Maghrib adepuis plusieurs années mis l’ac-cent, dans son corpus réglemen-taire, sur le rôle du Comité d’auditdans la gouvernance des établis-sements de crédit, ses attribu-tions et les règles régissant sacomposition. Sur cette base, lesComités d’audit se sont générali-sés dans le secteur bancaire. Pourassurer une meilleure efficacitéde ses travaux, les nouvelles ten-dances vont vers une spécialisa-tion de ce comité dans lesquestions liées aux contrôles

Les établissements de crédit marocainsont l’obligation de mettre en place undispositif de contrôle permanent

«»


RENCONTRE AVEC ...

interne et externe et l’institution,en parallèle, d’un deuxièmecomité, émanant de l’organed’administration, spécialisé dansla surveillance des risques. Labanque centrale a pris en consi-dération ces récentes évolutionsdans la nouvelle loi bancaire, quivient d’être publiée il y aquelques semaines, et qui consa-cre légalement l’obligation pourles établissements de crédit dedisposer à la fois d’un Comitéd’audit et d’un Comité risquescomposés, tous deux, d’adminis-trateurs notamment de mem-bres indépendants.

L. V. : Bank Al-Maghrib a mis enplace depuis plusieurs années uncadre de gouvernance en s’inspi-rant des meilleures pratiques enla matière. Quels en sont les prin-cipaux contours ?

M. le G. : Effectivement, depuisson premier plan stratégique

triennal établi en 2004, la Banques’est attelée à mettre en place unsystème de gouvernanceconforme aux standards interna-tionaux en la matière. A ce titre,les structures de gouvernanceont été renforcées à travers,notamment la clarification statu-taire des prérogatives desorganes d’administration, de ges-tion et de contrôle de la banque.En particulier, l’améliorationcontinue du fonctionnement duConseil s’est traduite par l’institu-tion en son sein de comités spé-cifiques (Comité d’audit,notamment) et, plus récemment,d’un dispositif d’autoévaluationpériodique de l’efficacité de sonfonctionnement. Ce renforce-ment des organes de gouver-nance a été accompagné parl’enracinement du principe deprise de décision collégiale, tantau niveau des processus « cœurde métier » qu’au niveau de lagestion des projets et affaires

courantes de la banque, avecl’institution de plusieurs comitésde pilotage, permanents et ad-hoc. En outre et tenant comptede l’évolution de son environne-ment interne et externe induit,notamment, par la crise finan-cière internationale, les missionsde la banque et les dispositifs deson indépendance ont été clari-fiés et renforcés dans le cadred’amendements, de plus en plusfréquents, de ses textes fonda-teurs, en 1993, 2006 et plusrécemment en 2014 (en coursd’adoption). En contrepartie decette indépendance accrue, labanque a renforcé graduelle-ment sa politique de transpa-rence, comme en témoignentaujourd’hui ses différents com-muniqués et publications, sespoints de presse ainsi que larichesse informationnelle de sonportail internet. Parallèlement, labanque a procédé, dès 2004, àune restructuration profonde de

son système de contrôle interneen s’inspirant du référentielCOSO.

L. V. : Justement votre système decontrôle interne a connu desévolutions importantes au coursde ces dernières années. Quellesen étaient les principales étapes ?Et quelles sont les prochaineséchéances clés ?

M. le G. : La première étape aconsisté à renforcer l’environne-ment de contrôle, composantefondamentale du système decontrôle interne. Ainsi, la banquea progressivement construit undispositif déontologique struc-turé selon une approche partici-pative en vue d’emporterl’adhésion de tous, avec un Codede déontologie applicable auxmembres du Conseil, auGouvernement de la banque et àl’ensemble du personnel, ainsiqu’un dispositif d’alerte éthique

© C

omug

nero

Silv

ana

- Fot

olia

.com

RENCONTRE AVEC ...


(Whistleblowing). Je tiens à préci-ser, à ce propos, l’importancepour nous, en tant que Banquecentrale, d’asseoir une forterigueur déontologique puisquela confiance que nous devonsinspirer au public et à nos parte-naires, constitue notre principalactif. Il ne peut y avoir deconfiance sans intégrité, une desclés de voûte d’une bonne gou-vernance. J’ai d’ailleurs tenu àprésider moi-même, en 2005, la

cérémonie solennelle de signa-ture de l’acte d’engagement ànotre Code où le haut manage-ment (y compris moi-même) asigné cet acte avant qu’il ne lesoit par l’ensemble du personnel.L’environnement de contrôle a,également, bénéficié des inci-dences positives des chantiersstructurants concrétisés dans lecadre du plan stratégique 2004-2006. Il s’agit, en l’occurrence, duschéma directeur des ressourceshumaines qui a mis sur les rails lesconcepts de la gestion modernedes ressources humaines, duschéma directeur informatiquequi a dessiné les contours denotre système d’information ainsique du système de managementde la qualité ISO 9001 qui apermis l’ancrage de la dyna-mique d’amélioration au sein dela banque. Parallèlement, nousavons procédé à une responsabi-lisation accrue des structuresopérationnelles par rapport auxactivités de contrôle de premierniveau, auparavant centraliséesau sein d’une même entité. Nousavons renforcé, aussi et surtout, lafonction d’audit interne à traverssa mise à niveau et sa profession-nalisation conformément auxstandards internationaux de l’IIA.Ces mesures ont été accompa-gnées par l’introduction du prin-cipe du contrôle par les risques.Ainsi, une démarche de gestiondes risques opérationnels a étéélaborée et déployée progressi-vement sur nos processus. Samise en œuvre a été dictée à lafois par le souci de s’assurer de la

maîtrise des risques pouvantentraver l’atteinte de nos objec-tifs et par une volonté d’exempla-rité, à l’instar de ce que nousexigeons des opérateurs quenous contrôlons. Ainsi, depuisprès de 10 ans maintenant, unecartographie consolidée desrisques est élaborée annuelle-ment et constitue un véritableoutil d’aide à la décision, notam-ment pour l’audit interne et laplanification budgétaire et straté-

gique. Au fur et à mesure del’avancement de ces étapes, nousavons procédé annuellement àl’élaboration d’un rapport d’éva-luation de la maturité de notresystème de contrôle interne dansl’ensemble de ses composantes(environnement de contrôle, ges-tion des risques, dispositifs decontrôle, information et commu-nication, pilotage). Sur uneéchelle de 1 à 5, ce rapport posi-tionne aujourd’hui notre systèmede contrôle interne dans la four-chette supérieure du niveau 4.Nous avons l’ambition d’attein-dre le niveau 5 au terme de notreplan stratégique 2013-2015.

L. V. : Au sein de Bank Al-Maghrib,comment s’articulent les troisgrandes fonctions de la maîtrisedes risques : conformité, gestiondes risques, audit interne ? Quelleindépendance ? Quelles relationsentre eux et avec les organes diri-geants ?

M. le G. : La gestion de la confor-mité est exercée de manièredécentralisée par plusieurs struc-tures et ce, dans le cadre d’unedémarche de gestion des risquescommuns à l’ensemble des pro-cessus de la banque. Parmi cesrisques, je citerai notamment lerisque juridique, incluant lesaspects liés à la protection desdonnées personnelles et la lutteanti-blanchiment, suivi par leDépartement des affaires juri-diques, le risque de conformitécomptable et fiscal suivi par laDirection financière ainsi que lesrisques de conformité déontolo-gique et de sécurité de l’informa-tion suivis par le Département dela gestion des risques et del’éthique relevant de la Directionde l’audit interne et des risques(DAIR). Ces fonctions, exercéespar des entités indépendantesqui me sont directement ratta-chées, agissent de manière intel-ligente et complémentaire, selonun cadre méthodologique

commun. Elles sont pleinementsituées au niveau de la deuxièmeligne de défense, l’audit internese positionnant naturellement àla troisième ligne. Le Comité d’au-dit quant à lui examine, demanière indépendante, la bonnearticulation entre ces fonctions.

L. V. : Bank Al-Maghrib disposed’une Direction de l’audit interneet des risques reconnue commeétant très professionnelle. Quellesrelations entretenez-vous avecelle ? De quel type d’indépen-dance dispose-t-elle ? Quellessont vos attentes par rapport àses responsabilités ? Commentl’indépendance de ses deuxdépartements est-elle assurée ?Quel type de relations entretient-elle avec le Conseil d’administra-tion, le Comité d’audit et/ou leComité des risques ? Y fait-on car-rière ?

M. le G. : J’entretiens une relationde grande proximité avec cetteentité qui est pour moi le « gar-dien du temple » en matière decontrôle et de maîtrise desrisques. C’est donc logique que jelui délègue, en partie, cette res-ponsabilité d’assurance quant àla maîtrise des risques. Dans lemême sens, je m’appuie forte-ment sur ses conclusions issues

L’audit interne entretient une relationdirecte et privilégiée avec le comitéd’audit

«»


RENCONTRE AVEC ...

tant des missions d’audit que dureporting annuel sur les risques,pour identifier les pistes d’amé-lioration en lien avec les activitésde notre Institution. Je veille, éga-lement, à ce qu’elle dispose desmoyens nécessaires (humains,techniques et financiers) lui per-mettant de s’acquitter pleine-ment de sa mission. CetteDirection, par ailleurs, n’étant pasimpliquée dans les activités opé-rationnelles, dispose d’une neu-tralité à même de lui permettrede formuler des avis objectifschaque fois que je sollicite sonconcours dans les chantierstransverses de la banque. Elleparticipe également, dans la plu-part des comités de pilotage etad-hoc où son avis est pris encompte en vue d’une meilleuremaîtrise des risques induits, par-ticulièrement, par les change-ments engagés par la banque.Du fait qu’elle m’est directementrattachée, cette Direction jouitd’une indépendance incontesta-ble vis-à-vis des entités opéra-tionnelles. Sur l’activité d’auditinterne, cette indépendance est,en outre, formalisée dans une

charte approuvée par le Conseilde la banque. Pour ce qui est desattentes, je suis assez exigeant àl’égard de cette Direction quant àson rôle d’assurance en matièrede maîtrise des risques. Je m’at-tends, en particulier, à une forteproactivité, à un apport de valeurajoutée et à un esprit d’anticipa-tion et de prévention des risquesauxquels la banque est exposée. Concernant l’indépendance desdeux départements de la DAIR, jeprécise en premier lieu que BankAl-Maghrib a décidé de rassem-bler l’audit interne et la gestiondes risques sous une mêmestructure en raison des fortessynergies dégagées par les deuxfonctions et qui sont nécessairesà une bonne maîtrise des risques.Toutefois, des garde-fous ont étéconçus et mis en œuvre pourmaîtriser le risque de conflit d’in-térêts apparent entre les deuxdépartements avec notamment : un dispositif de muraille de

Chine robuste, clairement for-malisé entre les deux départe-ments et validé par notreConseil (séparation physique /échange d’information struc-

turé et formalisé / non implica-tion des auditeurs dans lesactivités de gestion des risqueset vice versa) ;

une évaluation externe desactivités de la DAIR, en particu-lier celle de l’audit interne, pardes cabinets spécialisés sélec-tionnés dans le cadre d’appelsd’offres internationaux. J’aiexigé que ces évaluationssoient effectuées tous les troisans en ligne avec notre cyclestratégique, bien que lesnormes de l’IIA préconisentcinq ans. Jusqu’à présent, deuxévaluations ont été réalisées,en 2009 et en 2012, et ontconfirmé la conformité denotre audit interne aux normesde l’IIA.

A propos de ses relations avec lesorganes de surveillance, je sou-ligne que l’audit interne entre-tient une relation directe etprivilégiée avec le Comité d’audit.Il en assure le secrétariat et le ren-contre au moins quatre fois paran. Au vu des comptes rendus deces réunions, je constate que leséchanges sont marqués par un

débat franc sans langue de bois,une approche constructive etune intensité des discussions per-mettant ainsi d’asseoir une rela-tion de confiance avec lesmembres du Comité d’audit.Par ailleurs, le responsable de laDAIR assiste aux réunions duConseil de la banque et présente,en fonction de l’ordre du jour, lesprincipaux travaux liés au pro-gramme annuel d’audit, auxrisques clés et aux conclusions durapport sur le système decontrôle interne. A ce propos etmalgré les contraintes liées à l’or-dre du jour desdites réunions, jeveille à ce que ces sujets soienttraités de manière appropriée. Làaussi, les débats et discussionsentre les membres du Conseilsont intenses et constructifs per-mettant ainsi à cette instanced’exercer pleinement son rôle desurveillance.

Eu égard à la nature de ses activi-tés ayant une portée transversesur les activités de la banque, laDAIR dispose d’un capital humainriche et diversifié. Experts comp-tables, financiers, ingénieurs etjuristes sont autant de profilspouvant bien entendu y faire car-rière. J’ai, en particulier, vivementencouragé les programmes decertification professionnellereconnus à l’échelle internatio-nale des agents de cette entité,tels que le CIA (Certified InternalAuditor), le CISA (CertifiedInformation System Auditor), leCFA (Certified Financial Analyst), leCAMS (Certified Anti MoneyLaundering Specialist) ou le CICS(Certified Internal ControlSpecialist). Près de 40 % parmi euxsont aujourd’hui certifiés.

Parallèlement, la banque a mis enplace un dispositif de mobilitéinterne permettant aux agents,en fonction de leurs compé-tences et des besoins de labanque, de bénéficier de mobili-tés inter ou intra-entités. Ainsi,plusieurs mobilités de et vers laDAIR ont été enregistrées cesdernières années, certains cadresde la DAIR exerçant aujourd’huides fonctions managériales ausein d’entités opérationnelles.

© Io

nut D

avid

- Fo

tolia

.com

DOSSIER


21- La conformité est devenueune préoccupation majeure

des dirigeants

28- Maîtriser les enjeux et satisfaireaux exigences réglementaires

24- Développer la conformitésans étouffer l'ardeur des opérationnels

31- La conformité,acteur de premier plan

dans le dispositif de contrôle internebancaire

33- L'audit de conformité :une implication de plusieurs acteurs

LA CONFORMITÉ :UNE PRÉOCCUPATION

MAJEURE DES DIRIGEANTS


DOSSIER

Crédit photos © copyright photothèque PwC

DOSSIER


normes de « hard law » ou de « soft law ». Cetteobligation d’assurance a d’ailleurs été inséréeau sein du UK Bribery Act par l’instauration dunouveau délit de « failure to prevent » sur labase duquel les entreprises peuvent êtrecondamnées pour ne pas avoir pris toutes lesdiligences possibles afin de prévenir les viola-tions à cette loi.

Qu’entend-on par conformité ?

La conformité est par nature un domaine queles organisations doivent intégrer dans leurdispositif de contrôle interne. Nous retien-drons pour la suite de cet article la définitionproposée par le référentiel COSO mis à jour en2013 : « les lois et les réglementations fixent desnormes minimales de conduite attendue de l'en-treprise ; l'organisation est censée incorporer cesnormes dans les objectifs fixés pour l'entreprise ».Le respect des règles et des procéduresinternes relève dans cette définition desobjectifs opérationnels. Le périmètre des lois et règlementations esttrès large, et peut inclure par exemple : des lois et réglementations spécifiques à un

secteur ou à une industrie (pharmacie,énergie, banque, assurance…), pouvantavoir des spécificités pratiques danschaque pays ;

Face à la judi-ciarisation denotre sociétécivile, le res-

pect, par les entre-prises, des obligations légales etréglementaires s’imposant à leurs activités,devient primordial pour leur avenir. Cetteextension du rôle de la Justice ne la place plusuniquement comme garante du droit, maiségalement comme un véritable instrumentde régulation des relations sociales, écono-miques et politiques au sein de notre société.Ce phénomène entraîne une régulation deplus en plus dense et complexe, qui devientune préoccupation majeure des dirigeants,comme le montrent nos enquêtes récentesauprès des dirigeants : l’excès de régulationest considéré par 78 % d’entre eux commeune menace pour le développement de leurentreprise1, contre 72 % en 2014 ; la confor-mité des entreprises à ces régulations fait dés-ormais partie des huit préoccupationsimportantes du Comité exécutif et des inves-tisseurs2. Dans un contexte légal et réglementaire deplus en plus contraignant au quotidien, l’en-treprise doit alors s’assurer de l’adéquation deses activités avec les nombreuses normes quilui sont applicables, qu’elles soient des

La conformité est un domaine que les organisations doivent intégrer dans leur dispo-sitif de contrôle interne.

Dans un contexte légal et réglementaire de plus en plus contraignant, l’entreprise doits’assurer de l’adéquation de ses activités avec les normes qui lui sont applicables.

Jean-Pierre Hottin, Associé, PwC

La conformité estdevenue unepréoccupationmajeure desdirigeants


des lois et règlementations dont l’impactpeut être extra territorial (par exemple, cer-taines règlementations bancaires, les règle-mentations anti-corruption) ;

des lois et règlementations spécifiques àchaque contexte national voir transnatio-nal, portant sur des domaines plus spéci-fiques : droit des sociétés, droit de laconcurrence, fiscalité, droit du travail et rela-tions sociales, sécurité des biens et des per-sonnes, environnement, transport demarchandises, protection des données per-sonnelles, propriété intellectuelle…

Les obligations d’une entreprise sont nom-breuses et souvent difficilement appréhenda-bles dans leur ensemble, ce qui est d’autantplus vrai lorsque l’entreprise évolue dans unmilieu international. En réponse à cette pres-sion règlementaire, les entreprises sont deplus en plus souvent amenées à créer desfonctions dédiées en charge de la conformité.Traditionnellement, ces fonctions sont « pro-priétaires » de domaines réservés à la fonctionconformité tels que la lutte contre la corrup-tion, le renforcement du code de conduite del’entreprise3 ou encore les réglementationssectorielles telles qu’elles peuvent exister dansle secteur pharmaceutique ou dans le secteurfinancier. Les domaines octroyés à la fonctionconformité sont très variables d’une entre-prise à l’autre, dépendant généralement desrisques auxquels elles sont le plus exposées –par exemple, les problématiques de harcèle-ment ou de discrimination sont régulière-ment traitées par les fonctions RH.Dans la vision des trois lignes de maîtrise, laconformité est donc le plus souvent position-née en deuxième ligne, au travers d’une fonc-tion dédiée ou au sein des différentesfonctions traitant des sujets spécifiques deconformité.Enfin, les fonctions de la seconde ligne dedéfense peuvent également mener des audits– cela est souvent le cas des fonctions confor-mité qui disposent des ressources nécessairespour mener des audits de conformité au seindes unités opérationnelles –.

Quel rôle pour l’audit interneen tant que troisième lignede défense et quels enjeux ?

Le positionnement de l’audit interne commetroisième ligne de maîtrise est désormais pra-tique courante au sein des entreprises. Pourautant comment adresser ce rôle dans undomaine qui fait appel à des compétences trèsspécifiques et avec une seconde ligne dedéfense souvent éclatée entre plusieurs fonc-tions ? Cela d’autant plus qu’il est souventdemandé à l’audit interne d’aborder des

domaines plus opérationnels et à plus « fortevaleur ajoutée »… tout en considérant souventque la conformité fait partie par essence dudomaine d’intervention de l’audit interne…L’audit interne est susceptible d’intervenirsous deux formes : en menant des audits de conformité au

sens premier du terme, à savoir en s’assu-rant que la première ligne de défense res-pecte les obligations qui lui incombent,c'est-à-dire en vérifiant la traduction dansles procédures et contrôles, des lois etrèglements applicables et en s’assurant durespect effectif desdits procédures etcontrôles ;

en auditant la fonction conformité, ouplus largement le dispositif conformité –i.e. l’approche et l’organisation mises enplace par la seconde ligne de défense pourstructurer et organiser la réponse auxrisques réglementaires, y compris lamanière dont sont menés les auditsconduits par cette seconde ligne dedéfense et le degré d’assurance qu’ils amè-nent.

Mais avant tout, il est nécessaire de disposerd’une vision claire des risques de conformitéet du rôle respectif des premières et secondeslignes de défense.

La cartographie des activitésd’assurance, un outilparticulièrement pertinenten matière de conformité

Face à la complexité du domaine, l’auditinterne aura tout intérêt à procéder à une car-tographie des activités d’assurance, qui luipermettra d’avoir une vision claire sur l’ensem-ble des domaines de conformité, des fonc-tions de la seconde ligne de défense et deleur rôle (prescription de procédures, supervi-sion de la première ligne, voire audits menésdans la première ligne), et in fine, du niveaud’assurance existant dans chaque domaine. Cette approche permettra d’identifier lesdomaines de conformité partiellement ounon couverts par la seconde ligne de défense,et ainsi de déterminer où l’audit interne pour-rait focaliser ses efforts en termes d’audit deconformité. Elle permettra également de seforger une première opinion sur la manièredont l’audit interne pourra s’appuyer sur lesaudits de conformité réalisés par la secondeligne de défense.

Les enjeux des auditsde conformité

Exercice par excellence de l’auditeur interne,l’audit de conformité donne l’assurance de

l’adéquation des actions de l’entreprise auxdifférentes normes qui lui sont applicables.Cet audit de conformité possède deux volets.Le premier volet est l’analyse des normesinternes face aux obligations légales etréglementaires de l’entreprise. Ici, l’auditinterne a pour rôle de vérifier que ces obliga-tions se reflètent dans les normes internes del’entreprise pour garantir leur respect entoutes circonstances. Le deuxième volet est laconfrontation de ces règles à la réalité desopérations pour vérifier qu’aucune discor-dance entre les deux n’existe. L’auditeurinterne n’analysera plus le corpus normatiflui-même, mais l’adéquation des comporte-ments de l’entreprise à celui-ci. Il est ques-tion ici de l’audit de la première ligne dedéfense.

L’audit interne peut être amené à mener cesmissions de plusieurs manières : en menant des missions ciblées sur des

processus ou des entités avec pour objectifde donner une assurance sur la conformitéà une ou plusieurs réglementations ;

en intégrant dans des objectifs d’audit demission plus larges, le respect d’obligationsréglementaires ciblées.

Dans les deux cas, la complexité du corpusnormatif peut poser la question de la légiti-mité de l’audit interne à effectuer ces vérifica-tions. L’audit interne ne possède pas, engénéral, l’ensemble des connaissances juri-diques lui offrant l’expertise nécessaire pours’assurer de la conformité de l’entreprise auxnormes externes.Le recours à des expertises spécifiques est enla matière une bonne pratique à encourager,qu’elle soit réalisée en interne (par exemple enmobilisant la seconde ligne de défense ou des« guest auditors ») ou des prestataires externesà même de prendre en charge totalement oupartiellement les objectifs d’audit de la mis-sion.

Par exemple, en tant que prestataire de ser-vices d’audit interne, nous sommes de plus enplus sollicités pour mener des audits deconformité paie ou droit social. Ces auditsnécessitent une connaissance de sujets tech-niques spécifiques que ne possèdent pas lesauditeurs internes en général. Nous mobili-sons pour ce faire des experts de la paie oudes juristes, à même de déterminer lecontexte réglementaire applicable, d’analyserles documents complexes (contrats, régle-mentaires de paie…) et les intégrons avec nosauditeurs internes pour inscrire les interven-tions dans les principes de conduite des mis-sions de la profession audit interne. Il en va demême dans de nombreux autres domaines,

DOSSIER

DOSSIER


comme la conformité fiscale (créditimpôt recherche), l’anticorruption, lesrèglementations spécifiques du sec-teur financier (lutte anti blanchiment,protection des consommateurs…).

Les départements d’audit interne desgroupes multinationaux doivent faireface à d’autres défis. Il leur est difficiled’appréhender les spécificités légaleset réglementaires de tous les pays danslesquels l’entreprise opère, y comprisles pratiques élémentaires qu’un audi-teur interne « local » aura capitaliséesau fil de ses expériences. Il lui faudratravailler de concert avec certainesfonctions, principalement les départe-ments juridiques locaux, qui le guide-ront dans la compréhension des règleslocales à auditer. De plus en plus fréquem-ment, les grands groupes internationaux cher-chent à intégrer dans leurs équipes d’auditdes auditeurs locaux via des contrats decotraitance avec des cabinets spécialisés enaudit interne. Dans tous les cas, il est essentiel de bien déter-miner dans la lettre de mission les exclusionset inclusions en matière de revue de la confor-mité – et en particulier dans les objectifs rete-nus pour la mission. Ces exclusions etinclusions devront également être clairementexplicitées dans le rapport afin d’éviter touteambiguïté en cas de non-conformité détec-tée par la suite par les audits des « régula-teurs » que l’on pourrait qualifier de« quatrième ligne de défense » – qui en l’oc-currence ici accompagneront leurs conclu-sions d’amendes et de sanctions le plussouvent, à la différence de l’audit interne !

L’audit de la conformité …ou des conformités

En tant que troisième ligne de défense, l’auditinterne est idéalement positionné pourdonner une assurance sur l’efficacité de laseconde ligne de défense. C’est également cequi positionnera le curseur des audits deconformité décrits précédemment – lesméthodes, l’objectivité et les compétencesmises en œuvre pourront permettre de limiterle degré d’intervention de l’audit interne quipourra capitaliser sur le niveau d’assurancedéjà obtenu. L’audit interne s’intéressera à l’ef-ficacité de la conception du dispositif deconformité. Certes, il sera en charge de s’assu-rer que les fonctions responsables des dispo-sitifs de conformité répondent aux attentes del’entreprise dans la maîtrise des risquesentrant dans leur périmètre d’action. Maisl’audit des dispositifs de conformité pourras’intéresser à des objectifs plus larges, comme

par exemple : Les prescriptions déployées répondent-

elles non seulement aux obligations mini-males requises mais plus largement auxengagements que peut prendre l’entre-prise ? – i.e. au-delà du respect de la normeactuelle l’entreprise peut dans certains casdécider d’anticiper des évolutions possi-bles, par exemple en matière de législationdu travail dans des pays à bas coût.

Les dispositifs déployés sont-ils efficacesd’un point de vue coût ?

L’information remontée au travers des dis-positifs est-elle suffisamment robuste pourrépondre aux attentes des parties pre-nantes et mieux protéger la réputation del’entreprise ?

Les dispositifs déployés sont-ils suffisam-ment agiles pour s’adapter à des évolutionsrèglementaires ou à des changements d’or-ganisation interne ?

Le degré d’assurance opposable permet-ilde donner plus de confiance aux régula-teurs externes et limiter ainsi la pressionqu’ils peuvent exercer sur les opération-nels ?

L’organisation générale des dispositifspermet-elle d’embrasser un champ tou-jours plus large d’obligations ?

Toutes ces questions peuvent être abordéesen utilisant le prisme d’analyse que nous pro-posons dans le schéma ci-dessus, qui pré-sente les principaux piliers d’un dispositif deconformité efficace – piliers qui se recoupentparfaitement avec les 17 principes du COSOrévisé.

Ces audits présentent des enjeux particuliers : L’accès à des benchmarks pertinents, mais

surtout la capacité à prendre en compte lescontextes particuliers de chaque organisa-

tion « benchmarkée ». Ainsi une

société qui a fait l’objet de sanctionsconsacrera par nature plus de res-sources à l’audit de conformité.

La mise en œuvre des expertises liéesaux domaines de conformité analy-sés, couplée avec des capacités d’au-dit interne organisationnel.

La prise en compte du niveau d’at-tente des parties prenantes et de lacapacité à donner une assurance« suffisante » – nous sommes parnature dans la fourniture d’une assu-rance raisonnable, sachant que lessanctions de non-conformité peu-vent atteindre des sommets… Ledéveloppement des certifications dedispositifs peut donner un sentimentde confiance qui va bien au-delà dece qui peut aller au delà de ce quipeut être raisonnablement fourni.

L’indépendance et l’objectivité de l’auditeurinterne – qui aura également à juger de sonrôle dans le dispositif, notamment entermes d’audit de conformité.

Ces enjeux peuvent amener les départementsaudit interne à se faire accompagner par unprestataire externe pour réaliser de tels audits.

* * *

A l’heure où les fonctions audit interne sontde plus en plus challengées sur la valeur ajou-tée qu’elles apportent, l’arbitrage peut aller endéfaveur du maintien d’un focus suffisant surla conformité.Notre dernière enquête sur la fonction auditinterne a souligné l’importance du rôle tradi-tionnel d’assurance y compris pour les fonc-tions qui ont évolué vers des rôles àbeaucoup plus forte valeur ajoutée.Il est important, dans cet environnementrèglementaire de plus en plus contraignant etanxiogène pour les dirigeants, d’avoir uneapproche structurée et transparente vis-à-visdes parties prenantes en : clarifiant le niveau d’assurance que les

lignes de défense produisent, en utilisantpar exemple la cartographie des activitésd’assurance, et ceci en considérant laconformité sous ses aspects les plus variés ;

explicitant les attentes des parties pre-nantes vis-à-vis de l’audit interne, et en ali-gnant les moyens et les actions sur cesattentes.

1. PwC 18th Annual Global CEO Survey, p.9.

2. PwC, “State of Compliance 2014 Survey”, “What it meansto be a “chief” compliance officer: Today’s challenges,

tomorrow’s opportunities”, p.13

3. Ibidem, p.3

Programme decompliance

Engagementde la Direction

Mise en placed’une fonction

conformité

Evaluationdu risque

Mise en placede procédures

et work�owsCommunication

formation etéducation

Procédured’alerte

Mesures RH

Audit etmonitoring

Actionscorrectrices aux

incidents de non-conformité


DOSSIER

Les principaux risques

Un large spectre de risques avec des conséquences potentiellessur l’image du GroupePar la diversité de ses activités, de ses implantations et de ses offres, leGroupe est exposé à des risques de nature financière, industrielle etcommerciale. Sa position de leader dans le secteur de l’énergie, ainsique son ambition de développement, l’exposent également à desrisques de réputation notamment lorsque sont mises en cause lesvaleurs, l’excellence opérationnelle ou la légitimité d’opérateur duGroupe. Par sa gouvernance, ses politiques, son organisation et sesprocédures, le Groupe met tout en œuvre pour prévenir les risques

Développer laconformitésans étouffer l'ardeurdes opérationnels

Xavier Bedoret, Directeur de l’audit interne, GDF SUEZ

Michel Caty, Auditeur interne, GDF SUEZ

La direction éthique et conformité est chargée, entres autres, dela prévention de la fraude et de la corruption. Elle a élaboré troisprocédures groupe qui couvrent des zones à risques : le recoursaux intermédiaires, le traitement des cadeaux et invitations etles relations avec les pays sous embargo. Des missions sontconduites par l’audit interne qui donne une assurance sur le dis-positif de la conformité.

© Cre dit Photo - GDF SU

EZ - CALLEN

S TH

OMAS

DOSSIER


opérationnels et les attaques en dénigrementqui pourraient affecter sa réputation.

Des risques liés à la conformité aux lois etréglementationsLes métiers du Groupe sont soumis à de nom-breuses lois et réglementations relatives aurespect de l’environnement, à la promotiondes systèmes de production énergétique àzéro ou à faible émission de gaz à effet deserre, à la réduction des consommationsd’énergie, à la protection de la santé ainsi qu’àla fixation de normes de sécurité. Au-delà desprécautions contractuelles, le Groupe s’efforcede limiter l’ensemble de ces risques, notam-ment dans le cadre d’une politique environ-nementale proactive.Concernant les risques éthiques, des poli-tiques sont développées pour éviter danstoute la mesure du possible la survenance detels risques.

Une gestion des risques structuréede façon globaleGDF SUEZ a créé dans son organisation cen-trale une direction de pilotage des risques,comprenant le management des risques, l’au-dit interne et le contrôle interne, tous les troissous la responsabilité d’une même personne,le directeur en charge de l'audit et des risques,également membre du Comité exécutif. Cetteorganisation pilote le processus d’analyse desrisques, de définition puis de mise en œuvredes plans d’action.

La gouvernance

Les dirigeants de GDF SUEZ, en particulier leprésident-directeur général et le secrétairegénéral, membre du Comité de directiongénérale et déontologue du Groupe, impul-sent et supervisent la politique éthique etgarantissent sa bonne application.

Des Comités spécialisésAu sein du Conseil d’administration, le Comitépour l’éthique, l’environnement et le dévelop-pement durable supervise les sujets relatifs àla gouvernance, à l’éthique et à la compliance.

Le Comité directeur des déontologues et leComité de la compliance, tous deux présidéspar le déontologue du Groupe, initient etmettent en œuvre les plans d’actions enmatière d’éthique et les procédures de confor-mité dans les branches et prennent lesmesures de suivi nécessaires.

Une Direction éthique et complianceLa Direction éthique et compliance prépare lesplans d’actions dans le domaine de l’éthiqueet les procédures de conformité et veille à la

réalisation des objectifs. Elle élabore les poli-tiques et les référentiels en matière d’éthiqueet promeut leur mise en œuvre dans leGroupe.

Un réseau dense de déontologuesLa Direction éthique et compliance anime unréseau de plus de 190 déontologues répartisau sein des filiales, branches et directionsfonctionnelles et travaille en étroite collabo-ration avec toutes les filières concernées,parmi lesquelles le management des risques,le contrôle interne, l’audit interne, les res-sources humaines et le juridique.

Des procédures Groupe visant àdévelopper une culture de l’éthiqueLa politique éthique de GDF SUEZ vise à déve-lopper une culture de l’éthique fondée sur : la charte éthique qui fixe le cadre général

dans lequel doit s’inscrire le comportementprofessionnel de chaque collaborateur. Elleprécise les 4 principes fondamentaux : agiren conformité avec les lois et les réglemen-tations, ancrer une culture d’intégrité, fairepreuve de loyauté et d’honnêteté, respec-ter les autres ;

le guide des pratiques de l’éthique quidétaille les modalités de mise en œuvre del’éthique dans les situations profession-nelles au quotidien ;

le référentiel intégrité qui décrit la façondont le Groupe est organisé pour appré-hender le risque auquel expose tout man-quement à l’intégrité et établit leprogramme des actions pour lutter contrela fraude et la corruption : mise en œuvrede la politique consultants commerciaux et

de nouveaux principes de la relation com-merciale, notamment en matière decadeaux et invitations ;

le référentiel management de la conformitééthique qui précise l’organisation et les pro-cessus déployés pour atteindre l’efficacitédes dispositifs éthiques ;

un référentiel droits humains.

Un système de remontée des incidentsLe Groupe a mis en place, d’une part, un sys-tème d’alerte par e-mail permettant aux col-laborateurs de signaler des dysfonc-tionnements et, d’autre part, un outil de repor-ting « INFORM’ethics » déployé dans lesbranches qui permet la déclaration par lemanagement d’incidents dans six domaines :intégrité comptable et financière, conflit d’in-térêts, responsabilité sociale et droits humains,éthique des affaires, information confiden-tielle et protection du patrimoine immatériel.

Une procédure de conformité éthiqueannuelle Chaque année, le rapport du déontologue duGroupe est présenté au Comité pour l’éthique,l’environnement et le développement dura-ble du Conseil d’administration. Il synthétiseles actions menées au niveau du Groupe ainsique des branches pour mettre en œuvre lespolitiques d’éthique et de compliance. Chaquerapport de branche, établi par le déonto-logue, est accompagné d’une lettre deconformité du directeur de la branche certi-fiant sa responsabilité et son engagementquant à l’application du dispositif éthique ausein de l’organisation dont il a la charge.

Un programme de contrôle interneintégrant la dimension éthique etla conformitéLe programme de contrôle interne du Groupecouvre les entités et les processus les plussignificatifs du Groupe en termes de risquesopérationnels. Son dispositif de reportingpermet de donner au management et auComité d’audit une assurance raisonnable enmatière de maîtrise des risques opérationnels.Il s’appuie sur l’engagement des responsablesde processus relatif à la bonne réalisation despoints de contrôles principaux et aux résultatsobtenus. Cet engagement est par ailleurs cor-roboré par le regard indépendant de l’auditinterne qui examine avec une rotation de cinqà six ans les évaluations faites par le manage-ment.Pour réaliser ce programme, le Groupe dis-pose d’un ensemble complet et détaillé deréférentiels de contrôle. Un référentiel decontrôle interne spécifique « Respect desprincipes d’éthique » a été élaboré avec laDirection éthique et compliance et est systé-Xavier Bedoret et Michel Caty

matiquement déployé dans les entités faisantpartie du programme. Par ailleurs, chaque nouvelle politique ou pro-cédure fait l’objet d’une analyse systématiquepour identifier les points méritant d’être inté-grés dans les référentiels de contrôle interne. De même, l’analyse régulière des déclarationsd’incidents éthiques ainsi que les retours d’ex-périence des fraudes et audits internes per-mettent d’identifier les modifications àapporter aux référentiels de contrôle interneafin d’en renforcer l’efficacité.

Interaction de l’audit interneavec les différentes lignesde maîtrise

Des revues semestrielles avecla Direction éthique et complianceChaque semestre, une session de travail réunitla Direction éthique et compliance, l’auditinterne et le contrôle interne. Les incidents

remontés par la ligne managériale y sontpassés en revue et analysés pour (i) identifierde nouveaux risques ou des failles éventuellesdans le dispositif de contrôle interne, (ii) éven-tuellement compléter les référentiels decontrôle interne et (iii) alerter les auditeurs surles risques avérés auxquels ils doivent êtreattentifs lors de leurs missions.

Deux présentations par an au Comexet au Comité d’auditA la suite de ces réunions, la Direction de l’au-dit interne présente un rapport semestriel auComité exécutif du Groupe et au Comité d’au-dit. Ce rapport présente les cas avérés, la façondont ils ont été traités et les plans d’actionentrepris. Cette habitude de réaliser un rap-port sur les fraudes et manquements àl’éthique date de la mise en œuvre du dispo-sitif Sarbanes-Oxley en 2006, et a été mainte-nue. Le Comité exécutif et le Comité d’auditsouhaitent en effet avoir une vision intégrée,

consolidée et succincte des sujets liés auxmanquements à l’éthique et à la fraude.Par ailleurs, l’audit interne en lui même est l’undes éléments de conformité à la réglementa-tion : selon le principe 6 du UK-Bribery Act« Monitoring and review », des contrôles et véri-fications doivent être pratiqués afin de vérifierla mise en œuvre des procédures sur le terrainainsi que leur efficacité. La réalisation de telsaudits est donc indispensable pour s’assurerde la conformité au regard des réglementa-tions.

Les missions conduitespar l’audit interne pour donnerune assurance du dispositifde la conformité

Des missions sur la conformitéaux réglementationsDe façon générale, la plupart des missionsabordent certains risques liés à la conformité


DOSSIER

© Credit Photo - Electrabel - DAU

WE Sophie

(achats, santé et sécurité, ressourceshumaines…). La Direction de l’audit interneréalise en outre certaines missions ciblées surle respect de telle ou telle réglementation :par exemple, sur le respect de la réglementa-tion financière comme EMIR, ou des missionssur des réglementations techniques dans lesdomaines de l’exploration/production, de laproduction ou de la distribution du gaz et del’électricité. La Direction de l’audit a aussimené des missions sur le respect de la légis-lation sur les délais de paiement des fournis-seurs. Une autre mission a porté sur le respectdes réglementations en matière de sécuritéindustrielle sur les sites Seveso ; cette missiona été conduite en coopération avec laDirection santé sécurité.

3 types de missions sur les risques liésà l’éthique et à la fraudePour les risques liés à l’éthique et à la fraude,l’audit interne réalise 3 types de missions :

1. Des missions de prévention. Ce sont lesmissions les plus fréquentes : le rôle de l’au-dit est de donner une assurance sur ledéploiement et la mise en œuvre des poli-tiques du Groupe. Elles reposent sur desanalyses ou des tests substantifs.

2. Des missions de détection. Ces missionsportent sur des sujets particuliers (la payepar exemple, ou les frais professionnels), surun périmètre défini (une filiale par exem-ple). L’objectif des missions est de s’assurerqu’il n’y a pas d’opérations anormales etque le processus est bien sous contrôle.Elles reposent sur une analyse détaillée decertaines données ou transactions.

3. Des missions d’investigation. Ces missions,plus rares, font suite à une suspicion defraude. Elles sont généralement ciblées surdes transactions ou activités particulières.Ces missions sensibles requièrent un proto-cole particulier : la Direction de l’auditinterne Groupe a rédigé un guide sur lesmissions d’investigation, pour permettreaux auditeurs des branches ou des filialesde réaliser ce type de mission de manièreadéquate. La priorité dans ces missions estdonnée à la préservation des intérêts duGroupe (mise en place de mesures conser-vatoires) ainsi qu’à la préservation despreuves et de leur intégrité. Ces missionssont menées en étroite collaboration avecles juristes qui accompagnent et validentles travaux menés en termes de conformitéaux réglementations ainsi que les preuveset leur méthode de collecte. Un processusde communication spécifique permet audirecteur de l’audit interne d’encadrer stric-tement les travaux menés dans ces mis-sions par les auditeurs.

Un réseau de partage de connaissance« éthique et fraudes » au sein de l’auditinterneUne quinzaine d’auditeurs des différents ser-vices d’audit constituent un réseau de par-tage de connaissance au sein de lacommunauté de l’audit interne. Des représen-tants des filières ERM et contrôle interne fontaussi partie du réseau.

Le rôle de ce réseau est de suivre les évolu-tions des politiques et des procédures, d’ana-lyser les risques avérés, d’organiser leséchanges entre auditeurs, et de proposer desprogrammes de travail sur l’éthique et lafraude pour les audits des branches et desfiliales. Il se réunit tous les 3 mois, ce quipermet des échanges formels et informelsentre les auditeurs du réseau.

Les principaux challengeset priorités à venir

Plusieurs défis se posent à l’audit interne enmatière de conformité :1. L’expansion internationale du Groupe, la

réalisation d’investissements importantsdans des pays émergents et le développe-ment d’activités dans de nouveaux paysobligent à une vigilance accrue et continueen matière d’éthique des affaires.

2. La complexité des législations à portéeinternationale (Bribery Act, FCPA, embargo,EMIR, FATCA…) et des règles locales renddélicate la bonne compréhension et labonne mise en œuvre de ces réglementa-tions, souvent compliquées. Ce risque estaccru dans des organisations complexes ouen évolution, particulièrement lorsque leséquipes locales ne perçoivent pas lesenjeux de certaines de ces réglementationsinternationales.

3. La Direction de l’audit interne est de plusen plus souvent sollicitée par le Groupepour réaliser des missions d’investigationde courte durée, avec un faible préavis, àl‘international, en prenant en compte lesparticularités du contexte local. Le fait quel’audit interne soit composé d’un réseaud’équipes internationales, multiculturelles,mobilisables à court terme, est particulière-ment apprécié. Un challenge importantconsiste à maintenir le bon équilibre entreces missions d’investigation, qui apportentun éclairage important aux commandi-taires, et les missions sur les grands risqueset enjeux inscrites au plan d’audit.

4. Plus généralement, l’augmentation dunombre de réglementations impose detrouver le bon équilibre entre la conformitéet les enjeux opérationnels : l’audit internedoit veiller à ne pas adopter une approchemécanique et tatillonne de la conformité. Ildoit conserver une approche par lesrisques, en prenant en compte les enjeux,les risques potentiels et le coût de mise enœuvre des mesures de contrôle. L’auditinterne a aussi un rôle pédagogique dansce type de missions, pour expliquer auxfiliales les enjeux et les motivations duGroupe, et pour aider à la définition de pro-cédures pragmatiques, proportionnées auxenjeux et ciblées sur les zones à risques. Cerôle de pédagogie est fondamental afind’assurer que les plans d’actions seront biencompris, rapidement mis en place par lemanagement et permettront une diminu-tion effective et efficace des risques pour leGroupe.

DOSSIER



DOSSIER

Les principaux risques

Le Groupe Sanofi est un leader mondial de lasanté centré sur les besoins des patients, pré-

sent dans plus de 100 pays avec plus de 110 000 collaborateurs.Engagé dans la recherche et le développement, avec plus de 20 sitesde R&D, dans la fabrication, 112 sites répartis sur 41 pays, et dans lacommercialisation de produits de santé, Sanofi propose une offrediversifiée de médicaments humains et vétérinaires, de vaccins et desolutions thérapeutiques innovantes.Le secteur pharmaceutique, du fait de son action consacrée à la santéhumaine et de ses liens avec les acteurs institutionnels est aujourd’huiun des secteurs les plus règlementés. Parmi ces référentiels se trouventen premier lieu ceux émanant des autorités de tutelles aux différentsstades de développement d’un produit de santé. En tant que sociétécotée en France et aux États-Unis, Sanofi doit également se conformeraux règles qui régissent les marchés financiers. A l’ensemble de cesréférentiels, viennent s’ajouter toutes les exigences réglementairescommunes à toute activité telles que les règles HSE, le droit du travail,la responsabilité sociale et sociétale, les obligations légales et juri-diques…

L’implantation géographique du Groupe Sanofi, l’ensemble des régle-mentations auxquelles il est soumis, et les risques associés, représen-tent un enjeu stratégique nécessitant de s’adapter à unenvironnement vaste et complexe, en mettant en jeu de nombreuxacteurs et différentes expertises outre l’audit interne.

Chez Sanofi, les différentes parties prenantes du dispositif deconformité s’articulent selon le modèle des trois lignes de maî-trise. Chaque ligne de maîtrise joue un rôle actif et défini dansle dispositif de sécurité mis en place afin d’assurer une coordi-nation effective et efficiente, éviter les redondances inutiles etles lacunes dans le contrôle.

Marie-Hélène Laimay, Senior VP Audit &Evaluation du Contrôle Interne, Sanofi

Maîtriser lesenjeux etsatisfaire auxexigencesréglementaires

DOSSIER


La gouvernance

Chez Sanofi, les différentes parties prenantesdu dispositif de conformité s’articulent selonle modèle des trois lignes de maîtrise. Cemodèle a été mis en place il y a plusieursannées. Présenté dans un premier temps aucours des réunions d’ouverture des missionsd’audit interne, puis intégré dans la charte del’audit interne, il s’est imposé comme le réfé-rentiel Groupe notamment en servant desocle aux démarches de l’ERM et du contrôleinterne Groupe.Chaque ligne de maîtrise joue un rôle actif etdéfini dans le dispositif de conformité mis enplace afin d’assurer une coordination effectiveet efficiente, éviter les redondances inutiles etles lacunes dans le contrôle.La première ligne, constituée par le manage-ment opérationnel, propriétaire des risques,est alignée sur l’organisation et les métiers duGroupe. Elle veille au respect des règles et desprocédures qui régissent son activité quoti-dienne, assure la mise en place de contrôlesmanagériaux et de supervision adéquats pourgarantir la conformité, ainsi que la détectionde contrôles défaillants, de processus inadé-quats ou d’évènements inattendus.L’ensemble des référentiels appliqués par lapremière ligne de maîtrise est décliné despolitiques Groupe, définies généralement parles fonctions de la 2nde ligne de maîtrise.La seconde ligne de maîtrise a pour principalemission d’édicter les référentiels applicablespar la première ligne de maîtrise, et pourobjectif d’assurer le suivi du contrôle desrisques et de la conformité. Chez Sanofi, laseconde ligne de maîtrise se compose dudépartement juridique qui englobe la fraudeet la conformité éthique, du département decontrôle interne, rattaché à la Direction finan-cière du Groupe, des affaires médicales etréglementaires, de la qualité globale, HSE etd’autres fonctions ERM (systèmes d’informa-tion). Certaines fonctions intègrent des dispo-sitifs d’audit experts et réalisent des audits« ciblés » de la première ligne de maîtrise afinde s’assurer de la mise en œuvre correcte desréférentiels et des contrôles, et de la maitrisedes risques. La deuxième ligne de maîtrise rat-tachée aux différentes fonctions du Grouperend compte régulièrement du niveau decontrôle des opérations au Comité de direc-tion via les différents comités spécialisés(Comité des risques, Comité compliance).L’audit interne, rattaché hiérarchiquement audirecteur général Groupe et fonctionnelle-ment au président du Comité d’audit, consti-tue la troisième ligne de maîtrise. Il s’assure autravers de ses missions de l’efficacité de la ges-tion des risques au sein de l’organisation. Pourgarantir la pertinence de son mandat, et sa

conformité avec les normes professionnellesinternationales, l’audit interne dispose d’unprogramme d’assurance et d’amélioration dela qualité. Il se compose d’évaluations internes(auto-évaluation, revues qualité) et d’évalua-tions externes régulières (IFACI, consultants,auditeurs externes).La cotation en bourse en France et aux Etats-Unis du Groupe Sanofi, et la spécificité de sonactivité, font des auditeurs externes et desautorités de tutelles du secteur pharmaceu-tiques, des acteurs clés de la gouvernanceSanofi, pouvant être qualifiés de quatrièmeligne de maîtrise. Ils fournissent aux organesde gouvernance du Groupe une assurancecomplémentaire à celle émanant des lignesde maîtrise internes, relative notamment à laconformité des états financiers publiés et aurespect des bonnes pratiques pharmaceu-tiques.

Interaction de l’audit interneavec les différentes lignes demaîtrise

L’audit interne du Groupe Sanofi compte envi-ron 70 personnes, dont une cinquantained’auditeurs, répartie sur trois bureaux régio-

naux situés à Paris en France, à Bridgewateraux États-Unis et à Singapour. Chaque bureaurapporte au senior vice-président de l’auditinterne localisé à Paris. Cette organisationrépond à la stratégie de croissance du Groupe,dont les pays émergents sont un des piliers.Cette régionalisation de l’audit interne permetd’établir des liens privilégiés, mais indépen-dants, avec les fonctions opérationnelles etsupports des organisations régionales duGroupe, de s’imprégner des réglementationset contraintes opérationnelles locales, ainsique des risques et des enjeux spécifiques. Lesmissions menées par chaque bureau sontdéfinies au travers d’un plan d’audit annuel etpluriannuel validé par le directeur général etle Comité d’audit Groupe.Afin d’assurer une couverture adéquate desrisques, d’adapter ses modes de fonctionne-ment et se coordonner avec les différenteslignes de maîtrise, l’audit interne, via ses troisbureaux, interagit régulièrement avec les dif-férents acteurs de la gestion des risques et ducontrôle interne du Groupe Sanofi. Ces inter-actions jalonnent les processus opérationnelsde l’audit interne : Lors de l’élaboration du plan d’audit annuel,

les bureaux échangent sur les zones de

Board ofDirectors AUDIT COMMITEE

SeniorManagement

EXECUTIVE COMMITTEE

RISK COMMITTEE

COMPLIANCE COMMITTEE

Regulation bodies

External Audit

1st line of defense

R&D

Group Internal Audit

3rd line of defense2d line of defense

Industrial A!airs

Global Operations

Global Divisions

Vaccines

Other operations

Legal

Medical A!airs

Finance

HSE

IS

Global Quality

Other functions

Global Com

pliance

Group Risk

Managem

ent

Group Expert audits

Internal Control&

Processes

has ownership, responsibility and accountability for assessing, controlling and mitigating risks

monitors and facilitates the implementation of e!ective risk management practices by the 1st line and assists risk owners in reporting adequate risk-related information throughout the organization

provides assurance to the Group governing body and senior management on the organization’s e!ectiveness in assessing and managing its risks and related internal control systems, including the manner in wich the 1st and 2nd lines operate

Les trois lignes de maîtrise des risques de Sanofi


DOSSIER

risques identifiées avec chaque ligne demaîtrise. Les informations collectées sontconsolidées et hiérarchisées pour définir leplan d’audit interne du Groupe. Une foisvalidés, les plans d’audits de l’audit interneet des audits expert (ex. : SI, qualité) duGroupe sont échangés afin d’assurer uneapproche d’audit coordonnée au niveauGroupe.

Lors de la préparation d’une mission d’au-dit, des entretiens avec le management dela première ligne de maîtrise sont systéma-tiquement organisés. Les fonctions de laseconde ligne de maîtrise communiquentà l’audit interne les résultats de leurs der-niers contrôles / missions / revues relatifs àl’entité auditée. Tous ces éléments fontpartie intégrante de l’analyse de risquespermettant de déterminer le périmètre etles objectifs de la mission d’audit.

Au cours de la phase terrain, les observa-tions soulevées relevant plus spécifique-ment des secondes lignes de maîtrise, sontrégulièrement discutées et validées aveccelles-ci. Audit interne et seconde ligne demaîtrise s’accordent sur le constat, sa sévé-rité, la recommandation et le délai d’implé-mentation.

Les résultats des missions d’audits internessont enfin partagés avec la seconde lignede maîtrise. Celle-ci peut également, le caséchéant, évaluer le niveau de mise enœuvre d’un plan d’action issu d’une mis-sion d’audit interne lors de ses propresinvestigations terrain.

Enfin, l’audit interne interagit égalementavec les auditeurs externes. Ainsi, deux réu-nions annuelles sont par exemple adosséesaux échéances du calendrier financier. Deplus, les plans d’audit respectifs et l’évalua-tion des risques sont également partagéslors de réunions formelles. Les auditeursexternes sont par ailleurs destinataires detous les rapports de mission de l’auditinterne.

Les missions conduitespar l’audit interne pour donnerune assurance du dispositifde la conformité

L’audit interne de Sanofi évalue le dispositifglobal de conformité des risques en auditantaussi bien la première ligne de maîtrise que laseconde.Les audits de la première ligne constituentune majorité du plan d’audit annuel. Des mis-sions d’audits ou de diagnostics ciblées sur lesfonctions de la seconde ligne de maîtrise sontégalement conduites pour évaluer l’organisa-tion et la maturité des départements deconformité, qualité ou pharmacovigilance.

Outre, l’assurance intégrée fournie sur le dis-positif de conformité aux organes de gouver-nance, ces missions contribuent aurenforcement des échanges et de la collabo-ration entre la seconde ligne de maîtrise etl’audit interne, et permettent une améliora-tion continue des pratiques respectives.

Les principaux challengeset priorités à venir

Si l’efficacité de la gouvernance des risquesbasée sur le modèle des trois lignes de maî-trise n’est plus à démontrer, elle doit encoreêtre optimisée. A ce jour, Le Groupe Sanofi aretenu trois axes prioritaires de développe-ment.

Tout d’abord la mise en place d’un référentieldes zones de risques et un catalogue desrisques Groupe commun à l’ensemble deslignes de maîtrise permet de définir un lan-gage commun.Ensuite, le déploiement du référentiel decontrôle interne au sein du Groupe basé surune approche par processus partagée entreles différents acteurs et comprenant une listede contrôles obligatoires, assure un socle debase qui fait l’objet d’audit régulier.Enfin, les parties prenantes de ce dispositifdoivent expliquer les rôles et responsabilitésde chaque métier au sein du Groupe, valoriserles enjeux des différentes interactions afin degarantir une assurance intégrée de la couver-ture des risques et de l’efficacité du dispositifdans son ensemble.

DOSSIER


L’environnementdans lequel lesbanques exer-

cent leur activité s’estau cours des années

considérablement complexifié avec la diver-sité des métiers exercés, l’enrichissement de

l’offre commerciale à la clientèle, qu’elle soitde particuliers, d’entreprises ou institution-nelle auxquels sont proposés des produits deplus en plus complexes dans des marchésdésormais globalisés et soumis à des régle-mentations multiples.Ceci conduit l’audit interne à devoir évaluer

des risques nouveaux – les risques de non-conformité – exposant les banques, au-delàdu risque de réputation, à des risques desanctions financières pouvant affecter signifi-cativement la rentabilité et au-delà les fondspropres d’un établissement.C’est la raison pour laquelle l’audit de laconformité est devenu un enjeu majeur pourle secteur bancaire dans l’évaluation du dis-positif de contrôle interne par la fonctiond’audit interne.On est ainsi passé d’un audit de conformité àun audit de la fonction conformité.

L’audit de conformité a toujours constitué labase de la démarche de l’auditeur dont la mis-sion première consistait à vérifier la bonneapplication des procédures internes, c’est-à-

La conformité, acteurde premier plandans le dispositifde contrôle internebancaireL’audit de conformité a toujours constitué la base de la démarche de l’auditeur dont lamission première consistait à vérifier la bonne application des procédures internes.L’évolution du cadre d’activité des banques a conduit les superviseurs à définir lesrisques de non-conformité et à les encadrer par un dispositif normatif précis et contrai-gnant devant faire l’objet d’une évaluation régulière par l’audit interne.

Michel Le Masson, Inspecteur général, Crédit Agricole

© Sergey Nivens - Fotolia.com


DOSSIER

dire le respect par les fonctions de l’entreprised’un référentiel interne ou externe.Mais l’évolution du cadre d’activité desbanques, aussi bien sur leur marché domes-tique avec le développement de législationsprotectrices de la clientèle qu’à l’internationalavec les règles relatives au respect des règlesd’embargo ou de lutte contre le blanchimentde capitaux ou le financement du terrorisme,ont conduit les superviseurs à définir lesrisques de non-conformité et à les encadrerpar un dispositif normatif précis et contrai-gnant devant faire l’objet d’une évaluationrégulière par l’audit interne. La fonction deconformité est ainsi devenue une fonctionessentielle du dispositif de contrôle interne aumême titre que la fonction de contrôle desrisques.

Les risques de non-conformité sont repris inextenso dans l’arrêté du 3 novembre 2014relatif au contrôle interne des entreprises dusecteur de la Banque, qui s’est substitué aurèglement 97-02, en particulier le chapitre 2intitulé « Dispositif de contrôle de la confor-mité » et le chapitre 3 « Dispositif de luttecontre le blanchiment des capitaux et lefinancement du terrorisme », soit les articles28 à 73 d’un règlement qui en compte désor-mais 280.

Le risque de non-conformité, résultat d’uneréflexion menée au début des années 2000 ausein notamment du Comité de Bâle, est définipar la réglementation (article 10p de l’arrêtédu 3 novembre 2014) « comme le risque desanction judiciaire, administrative ou discipli-naire, de perte financière significative ou d’at-teinte à la réputation qui naît du non-respect desdispositions propres aux activités bancaires etfinancières, qu’elles soient de nature législativeou réglementaire, nationales ou européennesdirectement applicables ou qu’il s’agisse denormes professionnelles et déontologiques oud’instruction des dirigeants effectifs, notammenten application des orientations de l’organe desurveillance ».

Les banques ont investi des moyens impor-tants au cours de la dernière décennie pourmettre en place une fonction de conformitéorganisée sous forme d’une ligne métierdotée de moyens spécifiques permettant defixer un cadre partagé sur base d’un référen-tiel commun et d’organiser l’animation et le

pilotage des dispositifs de prévention desrisques de non-conformité. Le positionne-ment de son responsable auprès d’unmembre de l’organe exécutif et son accès àl’organe délibérant directement ou via leComité d’audit (Comité des risques) au mêmetitre que le responsable de la fonction risquesou le responsable d’audit interne témoignentdu poids pris par la fonction au cœur du dis-positif de contrôle interne.

La fonction de conformité est ainsi devenueun enjeu d’audit important tant pour la gou-vernance que pour le superviseur.

Il nécessite pour la fonction d’audit internede pouvoir exploiter la cartographie desrisques de non-conformité pour établir lapropre vision de l’audit interne qui permet-tra d’identifier les missions à programmerdans le plan d’audit. Il conduit égalementl’audit interne à évaluer la robustesse dudispositif de contrôle permanent de laconformité servi par des outils dédiés (enparticulier les outils de prévention et ladétection des opérations de blanchiment,de filtrage des flux, ainsi que du contrôledes abus de marché…). Les dispositifs dereportings et d’indicateurs permettantd’évaluer les plans de contrôle des unitésentrent également dans le champ desinvestigations, de même que les plans deformation des collaborateurs aux problé-matiques de conformité. Ainsi, l’apprécia-tion de la culture conformité de l’entrepriseet la détection des comportements à risquedeviennent des points d’audit, la réglemen-tation prévoyant désormais que ces élé-ments soient intégrés dans la politique derémunération des collaborateurs.

Enfin, il appartient également à l’auditinterne d’évaluer le positionnement de lafonction au sein de la gouvernance. Ceci sefait par la vérification de l’adéquation desmoyens, l’évaluation du fonctionnementdes Comités dans lesquels la conformitéexerce ses fonctions, l’analyse des dossiersrefusés, le suivi des plans d’action spéci-fiques à la suite de dysfonctionnementsconstatés, la capacité à mobiliser sur deschantiers transverses suite à la mise enplace de nouvelles réglementations (typeFATCA1) ou de suites à donner à des mis-sions des superviseurs, enfin par la vérifica-

tion de la remontée des dysfonction-nements ou des incidents de conformité àla gouvernance.

L’évaluation de l’efficacité du dispositif deconformité dans les banques mobilise des res-sources d’audit croissantes. Elle nécessite sou-vent une réelle expertise réglementaire desmétiers audités ainsi que des auditeurs spé-cialisés dans les systèmes d’information, enparticulier pour les problématiques liées auxfiltrages des flux et des moyens de paiementou l’exploitation de bases de données ou desystèmes (contrôle des abus de marché).L’évaluation des ressources dédiées à l’auditde la conformité n’est pas toujours aisée. Si unchantier conformité est ainsi déjà intégré sys-tématiquement à toutes les missions d’auditsous forme d’enquêtes générales de typemonographique, celui-ci peut prendre desformes variées allant de la déclinaison deguides d’audits réglementaires standards àdes chantiers ad hoc nécessitant des moyensdédiés.

En revanche, les missions thématiques visantà évaluer le fonctionnement du dispositif desécurité financière, d’abus de marché ou tousles aspects visant à assurer la protection duconsommateur sont identifiables dans le pland’audit, de même que les missions visant àapprécier la fonction conformité au sein de lagouvernance. Elles représentent une partcroissante des missions du plan d’audit, à lafois en nombre de missions, mais aussi entaille, ces missions pouvant mobiliser de façontransverse un grand nombre d’auditeurs enfonction des enjeux, de la dimension systèmeet du nombre d’entités impactées.

En conséquence, le nombre de recommanda-tions émises par les missions d’audit sur lathématique de la conformité augmente régu-lièrement pour constituer aujourd’hui unepartie importante du stock de recommanda-tions.

Ainsi, face à des risques de conformité évolu-tifs parfois difficiles à évaluer de par leurnature juridique et la complexité d’une régle-mentation mouvante, les audits bancairessont fortement mobilisés pour apprécier cesrisques et les remonter à la gouvernance.Cette mobilisation est à la hauteur des enjeuxfinanciers et de réputation attachés à la maî-trise des risques de non-conformité.

1. Foreign Account Tax Compliance Act, réglement du CodeFiscal des Etats-Unis qui oblige les banques des pays

signataires de l’accord à communiquer au Département duTrésor des Etats-Unis tous les comptes détenus par des

citoyens américains.

Il appartient à l’audit interne d’évaluer le positionnementde la fonction conformité au sein de la gouvernance« »

DOSSIER


Farid Al Mahsani1 :Merci d’avoir accepté

de participer à cette première édition de larevue « Audit, risques & contrôle ». Les ques-tions vont porter dans un premier temps surune présentation générale de votre organisa-tion. Deuxièmement, nous aborderons desquestions du cadre général de la conformité.Troisièmement, nous nous attarderons sur lerôle de l’audit interne. Finalement, nousconclurons cette entrevue par les défis aux-quels votre unité est confrontée.

Présentation

F. Al M. : Parlez-nous brièvement de votreorganisation et ensuite de votre unité et sonpositionnement dans la structure organisa-tionnelle.

Clément Clément : L'histoire du MouvementDesjardins est indissociable de celle duQuébec moderne. Depuis plus d'un siècle, ledéveloppement de son réseau et la diversifi-cation de ses activités ont accompagné l'essor

social et économique du Québec. Formantaujourd'hui l'un des plus importants groupesfinanciers au Canada (un actif de près de 227G$, 5,5 millions de membres et clients, 45 000employés et 360 caisses au Québec et enOntario). De plus, Desjardins se classe premieren Amérique du Nord et deuxième aumonde, en 2014, pour sa solidité financière, exaequo avec une autre banque coopérativejaponaise, selon Bloomberg. Enfin, Desjardinsest toujours resté fidèle à la philosophie deson fondateur : contribuer au mieux-être desindividus et des collectivités. À ce titre, lemagazine Corporate Knights a placé leMouvement Desjardins au 8e rang du classe-ment des 50 meilleures entreprises citoyen-nes au Canada en 2013.Il est important de souligner le caractère spé-cifique de gouvernance du Mouvement descaisses Desjardins. Chacune des caisses popu-laires est une entité juridique distincte,regroupée sous la Fédération des caissespopulaires à laquelle se greffent plusieursfiliales. Les secteurs d’activités Particuliers et

L'audit de conformité :une implication deplusieurs acteursLes Orientations publiées par le Comité de Bâle sur le contrôle bancaire, ainsi que leslignes directrices des Autorités des marchés financiers du Québec (AMF) exposent clai-rement la nécessité et l’importance pour les institutions financières comme Desjardinsde s’assurer de leur conformité aux lois, règlements et lignes directrices.

Entretien avec Clément Clément, Directeur principal, audit interne,Fonctions Mouvement au Bureau de la Surveillance du MouvementDesjardins

© thodonal - Fotolia.com


DOSSIER

Entreprises, Gestion de patrimoine etAssurance de personnes et Assurance dedommages proposent aux membres et auxclients, particuliers et entreprises, une gammecomplète de produits et de services financiersoffrant une réponse adaptée à leurs besoins.

Bureau de la surveillance du MouvementDesjardinsDans un souci de gestion saine et prudentede la part des dirigeants, Desjardins a mis enplace un cadre unique pour surveiller ses acti-vités par le biais du Bureau de surveillance,organisation indépendante et objective d’as-surance et de conseil.Sa mission s’articule autour de deux points : Assister les dirigeants du Mouvement dans

l’exercice de leur responsabilité de gouver-nance, surveiller et conseiller la directiondans sa responsabilité de gestion saine etprudente.

Contribuer à l’amélioration de la perfor-mance globale du Mouvement et au main-tien de la confiance des membres, dupublic et des organismes réglementairesenvers Desjardins.

Le Bureau de la Surveillance est responsablede l’audit interne des filiales et des compo-santes du Mouvement Desjardins, de l’auditexterne des états financiers des caisses duQuébec et de l’inspection des caisses duQuébec et de l’Ontario.

Cadre généralLes Orientations publiées par le Comité deBâle sur le contrôle bancaire ainsi que leslignes directrices des Autorités des marchésfinanciers du Québec (AMF) exposent claire-ment la nécessité et l’importance pour les ins-titutions financières comme Desjardins des’assurer de leur conformité aux lois, règle-ments et lignes directrices.

F. Al M. : Quelles sont les principales exigencesréglementaires auxquelles est soumis leMouvement des caisses Desjardins ?

C. C. : Comme vous vous en doutez, les insti-tutions financières au Canada comme ailleurs,sont très règlementées. Il faut d’abord souli-gner que, dans la foulée des exigences deBâle, Desjardins a été déclaré par l’AMF, sonautorité réglementaire, « institution financièreà risque systémique intérieure ». Ce statutimplique notamment une surveillance accruede la part de l’AMF et par conséquent desattentes plus élevées envers le Bureau de laSurveillance du Mouvement Desjardins. Cestatut confère également l’exigence de lamise en œuvre des diverses lignes directricesde l’AMF dès la publication de celles-ci, sans

bénéficier d’un délai d’ap-plication. Ces lignes direc-trices, une vingtaine, vontdu très général (gouver-nance, gestion intégréedes risques, critères deprobité et compétences,conformité) au très parti-culier (billets à capital pro-tégé, gestion des risquesliés à la titrisation, simula-tions de crise).Il y a également d’autresexigences réglementaires dont celles reliéesau règlement 52-109 (le « Sarbanes-Oxley »canadien) portant sur « l'attestation de l'infor-mation présentée dans les documentsannuels et intermédiaires des émetteurs ».Il faut également ajouter une multitude d’au-tres lois qui ont des impacts importants sur lasurveillance que l’on doit en faire. Je pense icinotamment aux diverses lois portant sur laprotection des renseignements personnelsainsi que la « Loi sur le recyclage des produitsde la criminalité et le financement des activi-tés terroristes ».

F. Al M. : Existe-il une autre unité, autre que lavôtre qui réalise des activités de conformité(services spécifiques en conformité, contrôleinterne, direction des affaires juridiques, etc.) ?

C. C. : La gestion et la surveillance de laconformité implique plusieurs acteurs. Selonle concept des trois lignes de défense, il y ad’abord ceux en 1re ligne qui sont responsa-bles des diverses activités. Chez Desjardins etcomme dans la plupart des grandes institu-tions financières, il y a également des acteursde 2e ligne tels les responsables de la gestiondes risques, ceux du programme 52-109, lesactuaires désignés, de même que le chef dela conformité. On y reviendra plus loin. En particulier, le Bureau du chef de la confor-mité du Mouvement est responsable de l'éla-boration de la mise à jour et du maintien ducadre de gestion de la conformité, qui s'ap-puie sur l'identification et le suivi des obliga-tions réglementaires ainsi que des unitésfonctionnelles visées par celles-ci. Pour cefaire, une vigie des développements enmatière de réglementation et de leur inci-dence sur les activités est effectuée encontinu par la fonction de conformité en col-laboration avec le service des Affaires juri-diques. La fonction de conformité appuie lesgestionnaires responsables des secteurs d’ac-tivité et des fonctions de soutien dans la ges-tion efficace de leurs risques, en élaborantl’encadrement et la documentation perti-nente, en exerçant un rôle de conseil, en met-tant en place des programmes de formation

et en procédant à des inspections pério-diques des activités. Enfin, le MouvementDesjardins a mis en place un mécanismeformel de reddition de comptes à cet égard àl’intention de la haute direction et desdiverses instances. Cette gestion d'ensemblede la conformité vise à procurer l’assuranceraisonnable que la conduite des activités duMouvement respecte la réglementation àlaquelle elles sont assujetties.

F. Al M. : Qui pilote la conformité réglemen-taire à haut niveau ?

C. C. : Chez Desjardins, c’est un comité duConseil d’administration du Mouvement, lacommission Vérification et Inspection quiexerce cette fonction. Les rôles et responsabi-lités de cette commission sont définis defaçon à donner à ses membres une indicationclaire de leurs fonctions, qui sont de l’ordre dela surveillance. Elle dispose des pouvoirs et detoute l’information nécessaires pour remplirson mandat. Elle revoit l’ensemble de l’infor-mation financière, supervise les redditions decomptes requises et exerce un rôle de pre-mier plan quant à la surveillance des contrôlesrelatifs à l’information financière et à l’appré-ciation de leur adéquation aux besoins à cetégard. Elle dispose de moyens de communi-cation directs avec le Bureau de laSurveillance. Elle est également en contactavec les auditeurs externes, avec qui elle peutdiscuter et passer en revue certaines ques-tions, le cas échéant. Elle tient des séances àhuis clos, sans la présence de membres de ladirection. Cette commission veille à l’indépen-dance du secteur de l’audit interne duMouvement Desjardins et adopte son pland’action annuel.

Rôle de l’audit

F. Al M. : Quels sont les risques de conformitécouverts par l'audit ?

C. C. : Les risques sont évalués principalementdans le cadre de l’analyse des risques réaliséelors de la préparation du plan annuel d’audit.

DOSSIER


Le plan annuel comprend notamment lesmandats statutaires tels ceux prescrits par laLoi sur le recyclage des produits de la crimi-nalité et le financement des activités terro-ristes qui exigent un audit indépendant, tousles deux ans, de chacune des entités décla-rantes faisant partie du groupe. À ces mandatsstatutaires périodiques, s’ajoutent divers man-dats définis selon l’analyse de risque et peu-vent concerner divers sujets tels que laprotection des renseignements personnels etles pratiques commerciales. Aussi, le contextedes exigences de Bâle et de la désignation deDesjardins comme institution financière àrisque systémique intérieure, implique actuel-lement le déploiement d’efforts importantspour l’obtention des agréments prévus dansla réglementation. Le Bureau de laSurveillance du Mouvement Desjardins, à titred’auditeur interne, est appelé à réaliser destravaux de revue indépendante tout au longde la mise en place des agréments et d’attes-ter le respect des exigences par des auditsindépendants.

F. Al M. : Parmi les activités de l’audit internede votre unité (évaluation de la pertinence etde l’efficacité du dispositif de contrôle, auditde conformité, VOR, audit des TI, servicesconseil, etc.) quelle proportion prennentcelles de l’audit de conformité ?

C. C. : Outre les travaux directement reliés auxexigences de Bâle, il est difficile de déterminerde telles proportions du fait que plusieurslignes directrices des autorités règlementairess’appuient sur des principes de saine gestion(ex. : gouvernance, gestion intégrée desrisques). Par exemple, un mandat portant surla gouvernance de l’entreprise couvrira le res-pect de certains principes énoncés dans laLigne directrice sur la gouvernance de l’AMFmais portera davantage sur la saine gestionque sur des aspects purement de conformité.On dit que le principal risque de conformitéen est un de réputation. Ainsi, lorsqu’on réaliseun mandat portant, par exemple sur la pro-tection des renseignements personnels, nousnous assurons bien sûr que la règlementationest respectée tout en ayant à l’esprit la possi-bilité et les impacts potentiels qu’aurait unévénement malheureux à ce sujet. Il en est de

même pour de vastes segments de la règle-mentation relative aux exigences de Bâle quivise à ce que l’institution financière disposede solides processus de gestion des risques.Ces processus sont au cœur de la mission desinstitutions financières et de leur saine gestiondes activités.

F. Al M. : Chez Desjardins, l'audit interne fait-ildes missions d'évaluation sur la deuxièmeligne de défense ?

C. C. : L’audit interne s’appuie de plus en plussur le concept des trois lignes de défense etplusieurs discussions sont en cours à ce sujetactuellement. En particulier dans les institu-tions financières, il y a un défi actuellement debien définir et coordonner ces lignes dedéfense. Autrement dit, s’assurer d’avoir unlangage et un référentiel communs, et un res-ponsable qui coordonne l’ensemble des tra-vaux de la 2e ligne, notamment ceux de laconformité, dans un souci d’efficacité, d’effi-

cience et d’économie. C’est l’essence mêmedu concept de GRC (gouvernance, risque etconformité) pour assurer une gestion opti-male de tous ceux dont la mission est de pro-curer une assurance quant à la maturitéappropriée des processus et une surveillanceadéquate. Dans le contexte d’aujourd’hui, les entreprisesqui réussissent le mieux à cet égard peuventainsi se procurer un avantage concurrentiel.Des équipes de Desjardins travaillent en cesens et l’audit interne surveille de près l’évo-lution de ces travaux. L’audit interne compteeffectivement s’appuyer de plus en plus surles travaux de la 2e ligne de défense selon sonévaluation de la maturité de cette dernière.

F. Al M. : Quel suivi faites-vous auprès duComité d’audit et des risques au sujet de lagestion des risques et de conformité ?

C. C. : Chaque groupe composant la 2e lignede défense fait une reddition de comptes

Dans le cadre du modèle des trois lignesde défense (ou de maîtrise), l'IIA définitles première, deuxième et troisièmelignes, respectivement comme étant « lescontrôles pilotés par le management »,« le suivi du contrôle des risques et de laconformité », et « l’assurance indépen-dante fournie par l’audit interne ».


DOSSIER

auprès de l’instance appropriée selon les res-ponsabilités définies dans leur charte respec-tive (commission vérification et inspection etcommission de gestion des risques notam-ment).

F. Al M. : Quelles relations entretenez-vousavec les principaux acteurs, essentiellementceux du service de la conformité et la direc-tion des affaires juridiques ?

C. C. : Comme indiqué antérieurement, l’en-semble des acteurs utilise les concepts véhi-culés dans les trois lignes de défense. Il existediverses tables de concertations ou de comi-tés conjoints pour assurer, comme expliquéplus haut, la cohérence des actions de cesdivers intervenants.

F. Al M. : Dans votre organisation, commentest perçue la fonction d’audit interne et enparticulier l’audit de conformité ? Une néces-sité ou une valeur ajoutée pour l’organisa-tion ?

C. C. : La fonction d’audit interne représente unpilier important pour la gouvernance de l’orga-

nisation (Conseils d’administration et ses diverscomités ainsi que la Direction générale). Avec letemps et les divers scandales financiers interna-tionaux survenus ces dernières années, les ges-tionnaires et les employés comprennent mieuxles besoins d’audit et de surveillance en généralde même que les besoins de démontrer la saineutilisation des ressources mises à la dispositiondes gestionnaires. Cependant, on peut com-prendre que pour plusieurs acteurs de la 1religne de défense, il peut exister une confusionentre les rôles des auditeurs internes, des audi-teurs externes, des gestionnaires de risques, deconformité, d’assurance-qualité et autres. C’estun défi de communication et de démonstra-tion de la valeur ajoutée de même que de lacoordination entre les différents groupes.

* * *

F. Al M. : A quels défis votre unité est-elleconfrontée pour répondre aux attentes desparties prenantes dans votre organisation entermes de conformité?

C. C. : À mon avis, le principal défi consiste àdémontrer la valeur ajoutée que représente

une bonne gestion de la conformité et ce défin’est pas propre à l’audit interne. Il peut arriverqu’il soit difficile de démontrer la valeur ajou-tée que procureent des travaux pour seconformer à des règles quelconques. Maisaujourd’hui, les autorités réglementairesappuient de plus en plus leurs exigences, surdes principes de saine gestion. Les organisa-tions qui intègrent le mieux ces exigences àleur processus d’affaires, et non pas un pro-cessus parallèle pour rencontrer des exi-gences, s’assureront non seulement d’unavantage compétitif, mais aussi d’un rehaus-sement de leur image. De même, la compré-hension mutuelle des divers acteursimpliqués dans les lignes de défense et lacoordination de leurs travaux assurera uneefficience et une efficacité des processus et ils’agit là, dans le contexte d’aujourd’hui, d’unenjeu stratégique majeur.

1. Entrevue réalisée par Farid Al Mahsani, Correspondant dela Revue pour la partie Amérique (Canada/Québec et Haïti).

Contactez-nous :Tél. : 01 44 70 63 00

E-mail : [email protected]

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Jaku

b Ce

jpek

- Fo

tolia

.com

Votre engagement pour+ de bonnes pratiques

+ de performance+ de légitimité

+ de sécurité

Progressez surdes bases solides

Le label de qualité et de performance CertificationIFACI est délivré aux services d'audit interne quiappliquent de façon pérenne les trente exigencespragmatiques du Référentiel Professionnel del'Audit Interne.


À LA DÉCOUVERTE DE ...

Une confianceà gagner,une légitimité etune crédibilité àconstruire

ATM Mobilis, filiale d’Algérie Télécom,est l’un des acteurs majeurs du sec-teur des TIC en Algérie. Entreprisepublique économique, elle est le

premier opérateur mobile en Algérie, créée en2003 et entrée officiellement en activité le 1er

janvier 2004. Avec un chiffre d’affaires de plusde 86 milliards de DA (près de 1 milliard de $USD), elle emploie plus de 5000 personnes etcompte plus de 15 millions d’abonnés.

A la découverte de la Directionde l’audit interne

Dans son effort de développement et de crois-sance, ATM Mobilis a décidé de renforcer et demoderniser sa Direction de l’audit interne.L’objectif recherché est de doter l’entreprised’une structure professionnelle, à même d’ap-porter une assistance au management, à tra-vers une opinion indépendante sur lesdispositifs de contrôle interne en place et despropositions d’amélioration de l’existant.

Sa principale missionLa Direction de l’audit interne de Mobilisévalue les processus de contrôle interne et

s’assure que les dispositifs mis en œuvre ausein de chaque structure de l’entreprise per-mettent à celle-ci de maîtriser son fonction-nement et d’atteindre ses objectifs. Elleassume une fonction support au manage-ment, indépendante de la ligne opération-nelle. Outre ses missions d’assurance, laDirection de l’audit interne peut mener desactivités de conseil.

Son rattachementLa Direction de l’audit d’ATM Mobilis est ratta-chée hiérarchiquement au président-direc-teur général et fonctionnellement au Comitéd’audit des comptes et au Comité d’audittechnique.

Son champ d’interventionL’univers d’audit inclut l’ensemble des entités(opérationnelles, fonctionnelles et régionales),fonctions, processus et systèmes de l’entre-prise.

Son effectifAujourd’hui, l’effectif est de 10. Il est appelé à aug-menter, dans le cadre de la mise en œuvre d’unprocessus de recrutement, entamé en 2014.

Les types d’audit réalisésTout type d’audit peut être inclus dans le pland’audit : des audits « classiques » tels que l’au-dit des processus ventes, achats, créances, RH,maintenance, etc., les audits transverses (pro-cessus de reporting, élaboration des plansd’actions et des budgets…), les audits de pro-jets, les audits de suivi de la mise en œuvredes recommandations d’audit, le suivi de lalevée des réserves des commissaires auxcomptes…Pour une première année de production, lesaudits de conformité ont été privilégiés.

Une nouvelle organisationet davantage de moyens

L’entreprise a décidé de renforcer et demoderniser sa Direction de l’audit. C’est ainsi,qu’à la fin de l’année 2013, un plan d’action aété adopté et couvre plusieurs volets.

Sur le plan organisationnelUne nouvelle organisation de la Direction del’audit a été adoptée par l’entreprise, privilé-giant à la fois le travail de terrain et le voletméthodes, par la création de deux structures

Nour-El-Houda Nabila Garici-Boughalem, Directrice de l’audit, ATM Mobilis



conduite contenus dans le code de déon-tologie des instituts de référence de la fonc-tion.

La mise à disposition des auditeurs desNormes de la profession et des modalitéspratiques de leur application (MPA).

Sur le plan des ressources humaines L’évaluation des besoins en ressources

humaines et le lancement d’un processusde recrutement d’auditeurs juniors etseniors, pour assurer des missions d’audi-teur, de chef de mission et de superviseurdes missions d’audit.

L’élaboration d’un programme de dévelop-pement des compétences des auditeurs etl’entame de sa mise en œuvre, en collabo-ration avec la structure en charge de la for-mation.

Pour ce qui est du profil des auditeursDes appels à candidatures ont été lancés,pour recruter, en interne et en externe, desauditeurs juniors et des seniors (chefs de mis-sion et superviseurs), avec des conditionsd’accès précisant les filières recherchées(expertise comptable, diplômés des écoles decommerce ou de gestion, ingénieurs…), lenombre d’années d’expérience profession-nelle souhaitées en audit selon le poste àpourvoir, les aptitudes professionnelles ainsique les qualités personnelles requises.L’accent est mis, notamment, sur les connais-

sances en finances et comptabilité et sur lescapacités de communication des candidats.L’équipe, aujourd’hui, est composée d’unedizaine de personnes avec une prédomi-nance de profils de diplômés en finances eten sciences juridiques et d’éléments de cabi-nets d’audit et de commissariat aux comptesavec une expérience de deux à sept ans enaudit interne / externe. Elle devra être renfor-cée par des recrutements, en interne ou enexterne, d’ingénieurs dans les métiers de l’en-treprise.

Pour ce qui est du développementdes compétences des auditeursUn plan directeur de formation a été élaboré,sur la base d’une identification des compé-tences requises pour tout auditeur interne. Ilidentifie les formations devant être dispen-sées aux auditeurs internes pour s’assurer qu’àterme chaque auditeur dispose des compé-tences nécessaires à l’exercice de son métier.Une distinction est faite entre les formationscommunes à l’ensemble de la populationappartenant à la filière audit et les formationsspécifiques à chacune des catégories deladite filière (auditeurs juniors, chefs de mis-sion et managers).C’est ainsi qu’il a été décidé de faire suivre àtout auditeur rejoignant l’équipe de laDirection, le cursus DPAI de l’IFACI, la prépa-ration à ce cursus se faisant avec des forma-teurs de l’IFACI et de l’AACIA.

distinctes mais complémentaires : La première est chargée du volet

méthodes, par la mise à disposition desauditeurs internes des Normes de l’auditinterne, des MPA, des processus, des procé-dures et des outils nécessaires à la réalisa-tion des missions d’audit et en s’assurant deleur application. Elle est également chargéedu reporting. Elle gère, par ailleurs, le fondsdocumentaire de l’audit et suit le volet« développement des compétences » desauditeurs.

La seconde est chargée de planifier, de réa-liser les missions d’audit au niveau desstructures opérationnelles, fonctionnelleset régionales et d’élaborer les rapports d’au-dit y afférents.

Sur le plan référentiel d’audit L’élaboration de la charte d’audit d’ATM

Mobilis s’inspire des normes consacrées etqui définit la mission, le rôle et les respon-sabilités de la Direction de l’audit. Outre unrappel de la définition de l’audit interne,cette charte précise le rattachement del’audit et définit les droits et obligations desauditeurs et des audités, le champ et lesmodalités d’intervention de l’audit ainsi quele processus d’approbation et de révisionde ladite charte.

L’élaboration du code de déontologie desauditeurs d’ATM Mobilis reprend, quant àlui, les principes fondamentaux et règles de

© G

iulio

_For

nasa

r - F

otol

ia.c

om



A ces formations viennent s’ajou-ter des formations induction surles métiers de l’entreprise, des for-mations en audits spécialisés(audit des achats, audit descontrats, audit des RH, audit desSI…), des formations managé-riales (gestion des équipes, ges-tion des conflits, gestion dutemps...) ainsi que d’autres forma-tions indispensables ( IAS/IFRS,bureautique…).

Sur le plan des procédures etoutils de travailProcess de la Direction et procé-dures de travailL’un des premiers chantiersouverts par la Direction est la for-malisation de ses process et sadotation en procédures de travail,validés par la Direction de la qua-lité.L’objectif recherché est de doterles auditeurs internes de procé-dures, conformes aux Normes dela profession, en commençantpar les plus urgentes.C’est ainsi que trois procéduresont été identifiées et concernent :l’élaboration du plan d’audit, laréalisation d’une mission d’auditet le suivi des recommandationsd’audit.

Base de données auditIl s’agit de mettre en place unebase de données pour la gestiondes missions d’audit. Un travailavec la Direction SI a été initiédans ce sens et sera pris encharge dans le cadre d’un projetd’entreprise en cours de mise enœuvre.

Fonds documentaireL’objectif recherché à traverscette action, est de mettre enplace un fonds documentairedédié à l’audit interne, pour assu-rer le développement continudes compétences des auditeurset leur permettre ainsi d’exercerau mieux leur mission. Dans unpremier temps et en sus del’adhésion à l’IFACI, il a été pro-

cédé à l’acquisition de quelquesouvrages de référence. Par ail-leurs, des « fichiers métiers » sontrégulièrement transmis auxmembres de l’équipe.

Les défis à relever

La Direction de l’audit de Mobilisest une structure jeune, en pleinephase de construction et de miseen place. Elle fait sienne la signature insti-tutionnelle de son entreprise« Partout avec vous » et ambi-tionne de devenir un outil incon-tournable d’aide et d’appui aumanagement, partout dans l’en-treprise et avec ses managers.

Pour se faire, elle s’est engagée àse doter d’un référentiel d’auditconforme aux pratiques profes-sionnelles de l’audit interne ets’est fixée comme objectif, unemise en conformité progressiveaux normes de la profession.

Pour cela, elle doit relever plu-sieurs défis ; les plus importantssont les suivants :

Recruter des auditeurs com-pétents et les fidéliser : cetobjectif doit, toutefois, tenircompte des contraintes derareté des profils seniors sur lemarché de l’emploi. Pourdépasser cette contrainte, l’op-tion choisie est de recruter desjuniors, de leur faire suivre uneformation de qualité, leuradjoindre des seniors recrutésen externe lorsque la ressourceest disponible, et de renforcerces équipes par des recrute-ments en interne de profilstechniques, qui compléterontleur formation de base par uneformation en audit interne,avec l’objectif d’en faire desmanagers d’équipes.

Veiller à la professionnalisa-tion des auditeurs et au déve-loppement continu de leurscompétences : une impor-

tance particulière est accordéeà la compétence des équipesd’audit. Dans ce cadre, et outrela formation continue, l’auto-formation et le partage desconnaissances entre les audi-teurs internes sont égalementencouragés. Les seules com-pétences en audit internedemeurent insuffisantes etune bonne connaissance del’entreprise est nécessaire.Rajouter à cela, toutes lesautres qualités personnellesindispensables à l’exercice dumétier d’auditeur : capacitéd’écoute, capacité de commu-nication, sens de l’organisation,discrétion, curiosité et sens del’observation, courage et per-sévérance.

Construire et maintenir sacrédibilité : pour que cetobjectif soit atteint, la Directionde l’audit s’engage à bâtir unefonction professionnelle, forte

par ses méthodes et les com-pétences techniques, managé-riales, comportementales etrelationnelles de ses membres.L’équipe d’audit, tous gradesconfondus, doit donnerl’exemple en respectant lesrègles que l’entreprise lui fixeet les règles que lui fixe la pro-fession. C’est en veillant à laqualité des travauxd’audit et àleur caractère « incontestable», que nous arriverons à gagneren crédibilité et à gagner le res-pect des audités et de laDirection générale.

Gagner la confiance dumanagement : cet objectifpeut être atteint en étant àl’écoute des besoins et desattentes de la Direction géné-rale et en étant à l’affût desévolutions de l’environnement,tant externe qu’interne à l’en-treprise ; la Direction de l’auditdoit être en mesure d’anticiperles risques qui pourraientmenacer l’atteinte des objec-

tifs de l’entreprise et lui porterpréjudice, en ciblant des mis-sions d’audit qui puissentapporter une valeur ajoutée àl’organisation.C’est aussi, en fonction de laqualité des résultats des auditset des recommandationscontenues dans nos rapportsd’audit, que nous arriverons à« intéresser » les audités et àdémystifier l’audit pour trans-former la Direction de l’auditen « partenaire » privilégié dumanagement de l’entreprise.

Si l’année 2014 a été l’année de laréorganisation de la structure,2015 devra être celle de la com-munication et du marketing de lafonction pour arriver à en faire unoutil de contrôle, de conseil etd’aide à la décision.

Notre ambition : devenir un outil incontournable d’aide etd’appui au management

« »

BONNES PRATIQUES


AUDIT DE LASUPPLY CHAIN

Comprendre les nouveauxenjeux de la Supply Chain

Très clairement, le processus de la SupplyChain a pris une dimension stratégique cesdernières années en devenant un facteur dif-férenciant, voire un avantage concurrentiel.Historiquement, la Supply Chain se positionnecomme un macro-processus qui englobe lesprocessus afférents à l’approvisionnement, lagestion des stocks et la logistique. Si ces pro-cessus sont aujourd’hui toujours concernés, laSupply Chain ne peut plus être dissociée de laproduction, de la politique achats et desobjectifs financiers dont les ratios peuventêtre lourdement impactés. Son périmètre s’estélargi en absorbant d’autres processus pourformer un ensemble dont l’analyse doit êtreglobale et transverse.Les évènements récents largement relayéspar les médias, tel que l’effondrement du RanaPlaza au Bengladesh, les ruptures d’approvi-sionnement conséquentes aux Tsunami demars 2011, ou les déséquilibres politiquesillustrent cette globalisation et la complexitéqui en découle. La Supply Chain fait d’ailleurspartie du top 10 des risques jugés les pluspréoccupants pour 2015 si l’on se réfère auxenquêtes et sondages réalisés auprès des diri-geants1.Trois aspects ont plus particulièrement favo-risé cette évolution :

Une évolution dans les modalitésde productionLe produit industrialisé n’est plus considérécomme étant un « un » indissociable, lesindustriels envisagent dorénavant facilementla production en silo, par module industrielle-ment sécable, avec une phase finale de réas-semblage permettant de reconstituer lesdifférents éléments en produit fini. Ce chan-gement d’approche des modalités de pro-duction génère des solutions de productiondifférenciées par modules, voire par pièces.Chaque module peut ainsi être réalisé par desusines internes ou chez des prestataires enfonction de la politique achats de l’entreprise,se trouver réparti à différents endroits de laplanète, avec des risques qui ne sont plus seu-lement d’ordre technologique ou logistique,mais auxquels s’ajoutent des risques poli-tiques, légaux, administratifs, culturels... Cesderniers doivent être gérés en sus et dans unelogique qui peut donc nécessiter une analysedifférenciée par module, ce qui peut s’avérerparticulièrement complexe si la productionest très éclatée.

Une internationalisation etune interdépendance des prestatairesLes évolutions économiques et les discourssur les avantages - inconvénients de la mon-dialisation concernent aussi la Supply Chain. Sid’un point de vue stratégique, il peut être per-

tinent d’externaliser vers des pays éloignésque ce soit pour améliorer la maîtrise de sescoûts ou pour se rapprocher de ses clients, lesrisques qui en découlent peuvent parfoiss’avérer plus délicats que prévus. On retrouvebien entendu les risques liés à l’internationa-lisation déjà évoqués ci-dessus, mais auxquelsva aussi s’ajouter l’incertitude de leur niveaude maîtrise. Tant pour les évènements duRana Plaza que pour le Tsunami, c’est aussi laproblématique de la sous-traitance en cas-cade qui a été soulevée. Quand bien même ledispositif de contrôle interne réussit à couvrirles prestataires ou fournisseurs de 1er rang –ce qui peut déjà relever dans certains casd’une gageure –, la maîtrise de ces mêmesdispositifs chez les sous-traitants des sous-trai-tants et plus, alors que ces derniers sont géo-graphiquement éclatés sur plusieurs paysvoire continents, relève de l’incertitude et baten brèche toute notion d’assurance raisonna-ble.C’est bien d’ailleurs pour cette raison notam-ment que les assureurs restent prudentsquant à l’élaboration d’offres assurantiellescouvrant les risques de la Supply Chain.

Une financiarisation de la Supply Chainqui a remplacé la gestion prudente en« bon père de famille »La bonne maîtrise d’une Supply Chain trans-paraît au travers des ratios financiers de l’en-treprise. Très directement, le BFR (besoin enfonds de roulement) qui renseigne sur les res-sources nécessaires au financement du cycleopérationnel, intègre notamment dans soncalcul la politique de gestion des stocks, ainsique les dettes fournisseurs. En d’autrestermes, tandis que la constitution de stocksest incitée à être toujours plus revue à labaisse, les entreprises sont incitées à payer

Géraldine Sutra , Présidente, Strat&Risk

Parmi les sujets à forte évolution ces dernières années, la Supply Chain tient une placede choix dans ce palmarès. Outre les évolutions technologiques, la recherche constantede l’optimisation des flux conjuguée à une internationalisation toujours plus impor-tante a rendu les risques de ce processus d’une grande complexité. Les compétencesdes acteurs de la Supply Chain ont dû évoluer pour s’adapter à ce nouvel environne-ment, à commencer par celles des auditeurs confrontés à de nouveaux types de risques.


BONNES PRATIQUES

dologiques se trouveront mises àl’épreuve par la nécessaire priseen compte de cet environne-ment protéiforme et pluridiscipli-naire. L’auditeur interne devra ensus apporter toute sa vigilancesur certains points clefs, détermi-nants de la réussite de sa mission.Quatre points méritent plus par-ticulièrement d’être retenus :

Bien délimiter le périmètre dela mission grâce à unesegmentation opportune dela Supply ChainLe périmètre peut être vaste, tantpar la nature des processusconcernés par l’audit (logistiques,stocks, mais aussi politiqueAchats, production, développe-ment...), par la dimension géo-graphique internationale, ou enraison de son étendue partena-riale si moult prestataires sontimpliqués.

Sur ce point, procéder par seg-mentation permet de structurerles interventions, sans se retrou-ver dépassé par un périmètretrop lourd avec des enjeux diffi-cilement comparables entre eux. Pour être opportune, cette seg-mentation doit être réalisée enfonction du contexte, de l’activitéet de la stratégie de l’entreprise.A titre d’exemple, le choix de cepérimètre peut être défini àpartir : d’un produit ou d’un module

en particulier,

d’un programme, d’une zone géographique.

S’assurer lors du démarragede la mission del’actualisation desconnaissances de l’auditeurinterne quant à la stratégieSupply Chain de l’entrepriseIl sera pertinent pour l’auditeurd’analyser les données et indica-teurs de performance sur le péri-mètre de la Supply Chain auditée(Cf. encadré 1).Il s’agira aussi dans cette phasede connaître et de comprendre lanature des flux propres au péri-mètre audité, de s’en approprier

les éléments techniques et spéci-ficités (Cf. encadré 2).Cette appropriation nécessiteune connaissance précise etactualisée, et donc une mise àjour en cas d’audit récurrent, desobjectifs de l’entreprise. L’ampleur des enjeux tels queprécédemment listés à savoir :modalités de production, inter-nationalisation, interdépen-dances avec les prestataires,financiarisation, peuvent générerune telle variation de contexte etd’environnement que les objec-tifs de l’entreprise ne peuventêtre identiques d’un périmètre àun autre. Cette étape doit être

plus tardivement leurs fournis-seurs. Poussé à l’extrême, l’entre-prise peut se retrouver dans unesituation à fort risque opération-nel tout en ayant un BFR enviableet prometteur. Toute la difficultéréside dans l’interrogation sui-vante : « où placer le curseur ? ».Certes, il n’appartient sans doutepas à l’auditeur de répondredirectement à cette question ;néanmoins, les fruits de son ana-lyse et de ses constats ne man-queront pas d’alimenter le débatet d’en influencer les réponses.

Très clairement, et c’est d’ailleurstout l’intérêt du sujet, il n’existepas une réponse standard à cesdifférentes problématiques, telleune application systématique etrassurante d’un guide desbonnes pratiques de la SupplyChain qui orienteraient vers dessolutions types. En d’autrestermes, et pour se placer dupoint de vue de l’auditeur, cetenvironnement protéiforme,rapidement évolutif, et fortementstratégique, soulève la difficultémajeure d’avoir un référentielstable et partagé.

Points méthodologiquesclefs pour la réussited’un audit de SupplyChain

Bienheureux l’auditeur qui s’estvu confier la réalisation de cetaudit, ses compétences métho-

Données et indicateurs pouvant êtrepertinents pour l’auditeur en plusdes données habituellement demandées Les résultats de l’indicateur OTIF (On time in Full) qui le rensei-

gneront sur le nombre de commandes livrées conformes tantd’un point qualitatif que sur le respect des délais de livraison,du lieu de livraison...

Le Lead Time qui mesure le nombre de jours entre une com-mande et sa livraison au client et qui permet d’apprécier laréactivité de la Supply Chain.

Le taux d’utilisation des ressources via par exemple le TRS (tauxde rendement synthétique).

Les données prévisionnelles des ventes et des demandes del’année en cours mais aussi des années passées afin d’en appré-cier la fiabilité.

Les données de suivi et d’évolution des niveaux des stocks. Les données financières, de suivi et de maîtrise des coûts. Eventuellement les données permettant d’apprécier l’impact

de la Supply Chain auditée sur l’environnement au regard de lapolitique RSE de l’entreprise.

Encadré 1

© P

hoto

grap

hee.

eu -

Foto

lia.c

om

BONNES PRATIQUES


menée avec minutie en s’interro-geant sur la stratégie voulue parle top management.

Diagnostiquer le niveau dematurité de sa Supply ChainAfin de structurer son diagnostic,l’auditeur interne trouvera unintérêt à cartographier les diffé-rents acteurs de la production(prestataires ou usines internes)en fonction de leur niveau dematurité.Cette maturité peut s’appréciersur une échelle de 1 à 4 et pourrapar exemple comprendre les cri-tères suivants : Performance qualitative et

financière : indicateurs de laSupply Chain.

Niveau de difficulté techniqueà réaliser le module ou produitconcerné.

Niveau de complexité d’unesous-traitance en chaîne plusou moins développée.

Modalité de pilotage. Niveau de confiance globale

(critère prenant en compte deséléments plus subjectifs baséssur les expériences passées).

Cette cartographie présente l’in-térêt majeur d’illustrer simple-ment et visuellement les pointsde tension. En fonction de lazone où sont positionnés lesacteurs, des solutions typesd’amélioration peuvent être envi-sagées. Cela permettra de suivreet de pouvoir comparer entreeux des prestataires appartenantà une même zone. (Cf. schéma 1).

Avoir une vision globale touten étant structuréLe raisonnement par processuspermettra cette structuration del’audit.Il découle des raisonnements

précédents que, sauf s’il s’agitd’un audit volontairement trèsspécifique, l’auditeur ne saurait secontenter de limiter le périmètrede son analyse à la seule logis-tique et gestion des stocks. Les sous-processus suivants doi-vent être regardés et approfondisen conséquence : Conception Industrialisation Production Distribution Support : juridique, financier,

image, RH... Système d’information Achats

Cette approche segmentée parsous-processus devra être com-plétée, en fin d’analyse, par uneréflexion en approche globalequi permettra de s’assurer qu’iln’existe pas de risques supplé-mentaires de nature transverse.Ce sera par exemple le cas desrisques se rattachant à la gouver-nance ou au reporting de la

Supply Chain qui nécessitent dereprendre cette hauteur de vuepour pleinement les apprécier.

Pistes derecommandation

Deux axes peuvent trouver unécho favorable lors des recom-mandations :

Mettre en place unedémarche collaborative avecles prestatairesBien souvent oubliée ou mécon-nue en interne la chaîne de lasous-traitance doit aussi êtreregardée avec la plus grandeattention. L’audit pourra être l’oc-casion d’envisager un processuscollaboratif partagé avec les pres-tataires, en les encourageant àfaire de même avec leurs propresprestataires. Cette démarche col-laborative relayée sur l’ensemblede la chaîne présente déjà unpremier intérêt, celui de recensertous les acteurs, internes ouexternes, intervenant sur l’ensem-ble du cycle. Cette démarche collaborativepourra démarrer par un état deslieux des moyens de maîtrise, àcommencer par exemple parceux se rapportant à la continuitéd’activité. En second lieu, cette démarchecontribuera à donner une réso-nance opérationnelle concrèteaux moyens de maîtrise mis en

place chez le donneur d’ordre.Relayés chez les principaux pres-tataires, les moyens de maîtrisegagnent en fiabilité et en effica-cité.

Explorer au maximum lesbénéfices du triptyque « audit/ gestion des risques /contrôle interne »La réalisation d’audits réguliersest, bien entendu, une contribu-tion à la démarche d’améliorationcontinue de l’entreprise au tra-vers de la mise en œuvre desrecommandations. Toutefois, ensus de ces audits, le responsableSupply Chain aura tout intérêt àmettre en place un dispositifrécurrent de maîtrise de ses acti-vités via un contrôle interne spé-cifique adapté à ses enjeux. Cedispositif récurrent incluant aussiune gestion des risques permet-tra de s’assurer des risques etopportunités, par exemple en casde décision d’externalisation, del’entrée d’un nouveau fournis-seur, ou du renforcement d’unautre.Sur ce processus protéiforme etpluridisciplinaire qu’est la SupplyChain, l’assurance raisonnable demaîtrise de l’activité ne pourraêtre acquise que par la mise enœuvre coordonnée et efficientedu triptyque « audit / gestion desrisques / contrôle interne ».

Nature des flux dans une Supply Chain Flux poussé : la demande est prévisionnelle, la production se

fait par anticipation et en prévision de cette demande. Flux tiré : la demande est cette fois réelle, soit parce qu’il s’agit

d’une commande client, soit d’un signal en aval (le Kanban) ;la production se fait en réponse à cette demande.

Flux tendu : flux tiré mais avec un minimum de stock intermé-diaire.

Encadré 2

Prestataire A

Prestataire B

Prestataire C Prestataire D

Prestataire E

Faible

Faible

Fort

Fort

Exemple de cartographie de maturité d’une Supply Chain

Usine interne A

Niveau de maturité dela Supply Chain (appréciéeen fonction de critères prédé�nis)

Enjeux du produit /module / ...

« Business as usual »avec vigilance accrue

S’interroger sur uneéventuelle sur-qualité

« Business as usual »avec dispositif de surveillance allégé

Interrogation stratégiquesur le maintien de ces prestataires

ou décision de déploiement prioritairede plans d’actions

Schéma 1

1. Enquête Allianz sur les risques majeurs lesplus redoutés par les dirigeants pour 2015.

ACTUALITÉ


EN BREFBlanchiment : l'ACPR pour le renforcement del'approche par les risques et du contrôlepériodique

L’ACPR (Autorité de Contrôle Prudentiel et de Résolution) a publiéde nouveaux principes relatifs à la lutte contre le blanchiment decapitaux et le financement du terrorisme (LCB-FT) pour le secteurdes assurances. Basé sur les contrôles déjà menés dans ce secteur,ce document explicatif aborde 5 thèmes dont l’approche par lesrisques et le contrôle interne relatif au dispositif LCB-FT. Ainsi, l’éla-boration d’une classification des risques BC-FT apparaît comme un« préalable indispensable ». Le périmètre du dispositif doit être suffi-sant puisque les activités menées par les délégataires de gestiondoivent être couvertes par le contrôle permanent et le contrôlepériodique de l’organisme. Le rythme des missions d’audit internedoit être adapté « aux risques BC-FT engendrés par l’activité qui nesaurait excéder 5 ans ».

Pour plus d’information : Transposition 3ème Directive Cahier de la recherche – « La délégation de gestion en assurances de

personnes : Pistes pour un contrôle interne efficace» / IFACI, 2012 Cahier de la recherche – « Cartographie des risques (2e éd.) - Groupe

Assurance » / IFACI, 2013 Norme et MPA-2010 Principes d’application sectoriels de l’Autorité de contrôle prudentiel

et de résolution relatifs à la lutte contre le blanchiment de capitauxet le financement du terrorisme pour le secteur des assurances

Les comptes de l'Etat : une certification sousréserves

La Cour des comptes a rendu public, le 11 février 2015, son rapportannuel dans lequel elle émet une nouvelle fois des réserves subs-tantielles sur les comptes de l’Etat pour l’exercice 2013. A noter, tou-tefois, des progrès puisque le nombre de réserves a été ramené àcinq contre 13 en 2006. De plus, la Cour note une amélioration desdispositifs d’audit et de contrôle interne chez certains opérateurs.Ainsi, l’Agence de l’Eau Rhône Méditerranée et Corse développedepuis quelques années ces dispositifs et a créé une mission d’auditinterne. Le Crous de Paris et la Direction Régionale des financespubliques d’Ile-de-France, quant à eux, ont adopté une méthodo-logie commune concernant le dispositif de contrôle interne comp-table et financier.

Pour plus d’information : Cahier de la Recherche – « Contrôle interne des opérateurs de l'Etat :

pour une maîtrise et un pilotage global des risques » / IFACI, juillet 2014 https://www.ccomptes.fr/Actualites/A-la-une/Le-rapport-public-

annuel-2015

Gestion des risques : vers plus de « lisibilité » etde « pertinence »

L’AMF (Autorité des Marchés Financiers) publie pour la première foisun rapport sur le contrôle interne et la gestion des risques des «valeurs moyennes » et constate le besoin de simplification des infor-mations demandées à ces émetteurs sur la gestion des risques afinde gagner en lisibilité et en pertinence. D’ores et déjà les recom-mandations formulées sont des pistes pour une vision plus intégréefaisant le lien avec : la stratégie et/ou le modèle économique ; le référentiel retenu ; les acteurs et les ressources affectés au contrôle interne et à la

gestion des risques ; les objectifs, le périmètre et le champ du contrôle interne (qui n’est

pas limité à la fiabilité des informations comptables et financières) ; les « facteurs de risques » du document de référence.

Ces recommandations font écho à celles formulées en novembre2013 pour les autres émetteurs.

Pour plus d’information : Recommandation AMF 2015-01 du 12 janvier 2015 Etude relative aux rapports des présidents sur les procédures de

contrôle interne et de gestion pour l'exercice 2013 Recommandation AMF 2013-17 modifiée le 13 janvier 2015

Gouvernance : honorabilité et compétence desdirigeants

Le 1er Janvier 2015 marque l’entrée en vigueur d’un décret structu-rant pour la gouvernance des banques et des assurances. Elles doi-vent rendre compte à l’ACPR des connaissances relatives auxexigences légales et réglementaires, au système de gouvernance,au contrôle interne, à la planification stratégique, à la gestion desrisques et à l’information comptable et financière des membres deleur conseil. Les points d’attention du COSO rappellent le rôle clé des dirigeantsqui doivent : « faire preuve d’exemplarité », « mettre en œuvre l’expertise requise », « agir en toute indépendance ».

Ces recommandations font écho à celles formulées en novembre2013 pour les autres émetteurs.

Pour plus d’information : http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D84BA7F9F

3AA9F251FB67D518CC7AFC0.tpdjo05v_3?cidTexte=JORFTEXT000029761730&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000029761619

Principe 1 et 2 du COSO : http://www.ifaci.com/61/109/1/COSO-Referentiel-Integre-de-Controle-Interne.html

FRANCE


ACTUALITÉ

Améliorer leReporting Intégré

Le Reporting Intégré estune nouvelle pratique degouvernance dont lesenjeux vont au-delà de laquestion de la fiabilité del’information extra-finan-cière. Pour illustrer la valeurajoutée de l’audit interne,l’IFACI publie les résultatsd’un partenariat avec plu-sieurs instituts européens(Espagne, Grande-Bretagne

et Irlande, Pays-bas, Norvège). En effet, les auditeurs internes peu-vent contribuer à mettre en place un processus efficace deReporting Intégré et à répondre aux besoins d’assurance en lamatière. Les recommandations du groupe de travail reposent surle Cadre de Référence International des Pratiques Professionnellesde l'Audit Interne (CRIPP) de l'IIA.Cette publication en deux volets s’adresse aux instances de gou-vernance (Conseil d’administration, direction générale) et auxprofessionnels de l’audit interne et de la gestion des risques. Elleapporte un éclairage sur les concepts, principes et élémentsconstitutifs recommandés par l'International IntegratedReporting Council (IIRC) ; clarifie les enjeux sous-jacents de gou-vernance, de risque et de contrôle ; propose des missions d'as-surance et de conseil de l'audit interne.L’IFACI diffusera dans les prochaines semaines une version fran-çaise de cette publication.

Retrouvez cette publication sur le site internet de l’IFACI.

Le contrôle internedu CreditManagement

L’IFACI et l’AFDCC (Associa-tion Française des CreditManagers et Conseils)publient un guide pratiquecommun. En effet, les entre-prises sont confrontées à desrisques clients de plus enplus nombreux et doiventdonc pouvoir compter surun Credit Management per-formant et structuré.

Ce référentiel soutiendra les dispositifs de gestion du risque clientde sa prévention au recouvrement. Il donne également des cléspour un renforcement de l’environnement de contrôle du CreditManagement.

Retrouvez cette publication sur le site internet de l’IFACI.

PUBLICATIONS

La satisfaction au travail des auditeurs

Un nouveau rapport de la fondation de la recherche de l’IIA réa-lisé auprès de 1 600 professionnels de l’audit met en évidencedes constats utiles pour la rétention des talents. Ainsi, la motiva-tion des auditeurs internes est fonction de leur niveau de certifi-cation, de leur intégration dans un parcours de « hautspotentiels », de leur statut, du niveau de rattachement du respon-sable de l’audit interne...

Pour plus d’information : https://global.theiia.org/news/Pages/IIA-Research-Foundation-

Issues-Report-on-Job-Satisfaction-for-Internal-Auditors.aspx

Mise à jour du code de gouvernementd'entreprise britannique

Cette mise à jour vise à renforcer la qualité de l’information reçuepar les investisseurs, notamment sur les notions liées à la viabilitéà long terme, la stratégie des entreprises cotées et augmente lesexigences en matière de management des risques. Dorénavant,les entreprises britanniques devront, au moins une fois par an,évaluer l’efficacité des systèmes de management des risques etde contrôle interne et communiquer les résultats dans leur rap-port annuel ou stratégique.

Pour plus d’information : h t t p s : / / w w w . f r c . o r g . u k / N e w s - a n d - E v e n t s / F R C -

Press/Press/2014/September/FRC-updates-UK-Corporate-Governance-Code.aspx

Un panorama de l'audit interne par l'IIA UK &Ireland

L’IIA UK & Ireland vient de publier les résultats d’une enquête surles pratiques de gouvernance et de gestion des risques auprèsde 250 responsables d’audit interne à propos : du management des risques (maturité de la fonction de ges-

tion du risque, rôle de l’audit interne, zones à risque), des qualifications et compétences des auditeurs internes, de la structuration et des responsabilités de l’audit interne (rat-

tachements, relations et accès au comité d’audit et à la direc-tion générale, supervision…)

des ressources de l’audit interne (ressources, prestationsexternes, évaluation externe du programme d’assurance etd’amélioration qualité).

Pour plus d’information : https://www.iia.org.uk/govandrisk2014

MONDE

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

SESSIONS DuréeTarifs

adhérentsTarifs nonadhérents

janv. févr. mars avril mai juin juillet sept. oct. nov. déc.

SE FORMER À LA MAÎTRISE DES ACTIVITÉS ET AU CONTRÔLE INTERNE

S’initier à la maîtrise des activités et au contrôle interne 2 j 950 € 1 125 € 15-16 4-5 9-10 1-2 6-7 8-9 2-3 10-11 1-2 5-6 3-4

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 19-21 9-11 11-13 8-10 11-13 10-12 6-8 14-16 5-7 16-18 7-9

Elaborer le référentiel de maîtrise des activités 2 j 1 200 € 1 350 € 22-23 12-13 16-17 14-15 19-20 16-17 9-10 17-18 8-9 19-20 10-11

Piloter un dispositif de maîtrise des activitéset de contrôle interne 2 j 1 200 € 1 350 € 26-27 19-20 18-19 16-17 27-28 18-19 23-24 14-15 24-25 16-17

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 29-30 24-25 23-24 12-13

Maîtrise des activités, contrôle interne et communication 2 j 1 200 € 1 350 € 17-18 21-22 1-2 21-22 19-20 14-15

SE FORMER À L’AUDIT INTERNE

Les fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 950 € 1 125 € 12-13 5-6 2-3 2-3 5-6 4-5/29-30 7-8 5-6 4-5 3-4

Conduire une mission d’audit interne : la méthodologie 3+1 j 1 675 € 1775 € 14-16 10-12 4-6 8-10 11-13 9-11 1-3 9-11 7-9 16-18 7-9

Maîtriser les outils et les techniques de l’audit 3 j 1 625 € 1 775 € 19-21 16-18 9-11 13-15 18-20 15-17 6-8 14-16 12-14 23-25 14-16

Maîtriser les situations de communication orale de l’auditeur 2 j 1 050 € 1 150 € 22-23 19-20 12-13 16-17 21-22 18-19 9-10 17-18 15-16 26-27 17-18

Réussir les écrits de la mission d’audit 2 j 1 050 € 1 150 € 29-30 23-24 19-20 20-21 26-27 23-24 7-8 21-22 21-22 19-20 10-11

Exploiter les états financiers pour préparerune mission d’audit 3 j 1 525 € 1 675 € 26-28 23-25 27-29 28-30 23-25

Désacraliser les systèmes d’information 3 j 1 525 € 1 675 € 16-18 1-3 23-25 2-4

Détecter et prévenir les fraudes 2 j 1 050 € 1 150 € 26-27 22-23 4-5 21-22 19-20 8-9

Le management

Piloter un service d’audit interne 2 j 1 300 € 1 450 € 12-13 11-12 8-9

Manager une équipe d’auditeurs au cours d’une mission 1 j 685 € 770 € 16 6 17

L’audit interne dans les petites structures 1 j 685 € 770 € 4 27

Balanced Scorecard du service d’audit interne 1 j 685 € 770 € 27 25

Le suivi des recommandations 1 j 685 € 770 € 28 16 15 30 18

Préparer l’évaluation externe du service d’audit interne 2 j 1 300 € 1 450 € 10-11 12-13 19-20

L’audit interne, acteur de la gouvernance 1 j 685 € 770 € 17 1

Audit interne, contrôle interne et qualité : les synergies 1 j 685 € 770 € 23 15 2

Les audits spécifiques

Audit du Management de la Continuité d’Activités 2 j 1 300 € 1 450 € 24-25 25-26 21-22

Audit de la fonction Comptable 2 j 1 300 € 1 450 € 13-14 12-13

Audit de performance de la gestion des RessourcesHumaines 3 j 1 525 € 1 675 € 28-30 23-25

Audit de la fonction Achats 2 j 1 300 € 1 450 € 26-27 26-27 14-15

Audit des Contrats 1 j 685 € 770 € 18 4

Audit de la fonction Contrôle de Gestion 2 j 1 300 € 1 450 € 30-31 7-8

Audit de la Sécurité des Systèmes d’Information 2 j 1 300 € 1 450 € 19-20 28-29

Audit des Processus Informatisés 2 j 1 300 € 1 450 € 9-10 25-26

Audit de la Conformité à la Législation Sociale 2 j 1 300 € 1 450 € 16-17 5-6

Audit du Développement Durable 2 j 1 300 € 1 450 € 19-20 13-14

Audit des Projets et Investissements 2 j 1 300 € 1 450 € 2-3 23-24

SE FORMER DANS LE SECTEUR PUBLIC

Le contrôle interne dans le secteur public 2 j 1 300 € 1 450 € 5-6 7-8 16-17

Pratiquer l’audit interne dans le secteur public 4 j 1 950 € 2 150 € 14-17 14-17 1-4

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIERLe contrôle permanent et la conformité dans le secteurbancaire et financier 3 j 1 525 € 1 675 € 17-19 16-18 2-4

Pratiquer l’audit interne dans une banqueou un établissement financier 4 j 1 950 € 2 150 € 22-25 22-25 7-10

SE FORMER DANS LE SECTEUR DES ASSURANCES

Le contrôle interne dans le secteur des assurances 2 j 1 300 € 1 450 € 5-6 5-6 7-8 5-6

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 950 € 2 150 € 10-13 16-19 13-16 14-17

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE

Audit de la gestion des stocks et de la logistique 2 j 1 300 € 1 450 € 3-4 9-10

Audit du processus de ventes 2 j 1 300 € 1 450 € 7-8 15-16

ACQUÉRIR UNE CERTIFICATION

Préparation au CIA - Partie 1 2 j 950 € 1 125 € 11-12 2-3 8-9 2-3

Préparation au CIA - Partie 2 2 j 950 € 1 125 € 18-19 8-9 14-15 9-10

Préparation au CIA - Partie 3 3 j 1 525 € 1 675 € 24-26 17-19 23-25 15-17

CRMA Training 2 j 995 € 1 170 € Dates sur notre site internet : www.ifaci.com

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

Formation 2015

Documents

LA CONFORMITÉ : UNE PRÉOCCUPATION MAJEURE DES …