Audit Interne Ed1 v1

170 x 240 mm - 18,8 mm
Collection Finance
S o u s l a d i r e c ti o n d e
lisabeth Bertin
Laudit interne,
fonction cl de lentreprise
a
Francis Lamarque
ric Lamarque
Christophe Godowski
Christine Pochet
Louis Vaurs
Franois Vidaux
-:HSMCLC=ZX^\U\:
barbary-courte.com - Photo de couverture : Laurent Thion
Julie Tixier
Alessandro Reitelli
Christian Prat dit

Hauret
Nol Pons
Ce document est la proprit exclusive de xeromed xeromed (xeromed@hotmail.com) - 17 Janvier 2009 21:55
Florence Fradin
Eustache Ebondo wa
Mandzila
Code diteur : G53970

ISBN : 978-2-212-53970-7
Docteur s Sciences de Gestion, lisabeth Bertin est matre de

confrences en sciences de gestion lInstitut dadministration des
entreprises de Tours. Elle assure la direction du master 2 Audit des
entreprises internationales, quelle a cr. Ses travaux de recherche
portent sur laudit externe et interne, plus particulirement sur le
comportement daudit, linternationalisation de laudit et la formation
laudit.
Audit interne
Patricia Coutelle-Brillet
lisabeth Bertin
lisabeth Bertin
Christian Bertheuil
Valrie Berche
Cet ouvrage donne une vision trs complte des spcicits

et des enjeux de laudit interne en contexte international.
Outre lactualit du sujet, son intrt rside dans le large
ventail des thmes traits :
1 la dmarche et les dimensions organisationnelles et
comportementales de laudit interne ;
1 laudit des processus qui prsentent des spcicits
linternational ;
1 limpact des volutions rglementaires rcentes et
prvisibles sur la fonction daudit interne.
Les lecteurs trouveront l une culture complmentaire,
des lments de mthodologie, une prise de recul et des
pistes de rexion, relatifs lexercice de laudit interne
linternational.
Avec la contribution
de :
Laudit interne est devenu un acteur majeur du dispositif de

matrise des risques, du contrle interne et de la gouvernance
des socits. La fonction en elle-mme est de plus en
plus large et la valeur ajoute des missions des auditeurs
internes leur confre une vritable force de proposition et
de conseil. Cette volution, qui sest acclre la suite de
la promulgation du Sarbanes-Oxley Act (2002) et dans un
contexte dinternationalisation croissante des entreprises
et de multiplication des fusions-acquisitions, engendre de
nouvelles problmatiques.
Prface de Louis Vaurs
Audit
interne
Enjeux
et pratiques
linternational
45
53970_bertin_188.indd 1
14/09/07 16:33:43
Audit interne :
enjeux et pratiques
linternational
Sous la direction dlisabeth Bertin
Audit interne :
enjeux et pratiques
linternational
Prface de Louis Vaurs
Groupe Eyrolles
61, bd Saint-Germain
75240 Paris cedex 05
www.editions-eyrolles.com
Le Code de la proprit intellectuelle du 1er juillet 1992 interdit en effet

expressment la photocopie usage collectif sans autorisation des ayants droit.
Or, cette pratique sest gnralise notamment dans lenseignement provoquant une baisse brutale des achats de livres, au point que la possibilit mme
pour les auteurs de crer des uvres nouvelles et de les faire diter correctement est aujourdhui menace.
En application de la loi du 11 mars 1957, il est interdit de reproduire intgralement ou partiellement le prsent ouvrage, sur quelque support que ce soit, sans autorisation de lditeur
ou du Centre Franais dExploitation du Droit de copie, 20, rue des Grands-Augustins,
75006 Paris.
Groupe Eyrolles, 2007

ISBN : 978-2-212-53970-7
Prface
audit interne, dfini officiellement comme une activit, est avant tout
une fonction de lorganisation et cest avec des ressources appropries
de celle-ci que laudit interne est susceptible dapporter le plus de valeur
ajoute. Laudit interne doit vivre lentreprise, tre imprgn de sa culture, se
sentir concern par tout ce qui la touche, ses succs comme ses difficults ou
ses checs. En consquence, lexternalisation du service daudit interne,
association insolite de termes contradictoires diraient daucuns, est bannir. En revanche, le recours ponctuel des ressources et des comptences
externes, lorsque la ncessit sen fait sentir, est recommander.
Laudit interne est une fonction qui prsente de grandes spcificits et ne

peut tre compare aucune autre. Elle dispose en fait des caractristiques
dune profession norme lchelle internationale : mme dfinition,
mmes standards professionnels, mme code de dontologie ; un examen
mondialement reconnu, le CIA (Certified Internal Auditor), auquel est venu
sajouter pour les pays francophones le DPAI (Diplme Professionnel de
lAudit Interne) ; une valuation rgulire enfin de son bon fonctionnement
par des organismes indpendants.
Groupe Eyrolles
Contrairement une ide reue, laudit interne nest pas une fonction
comptable et financire ou du moins nest pas que cela. En effet, sa mission
consiste analyser les risques, tous les risques, quils soient oprationnels,
financiers ou de conformit, susceptibles daffecter la ralisation des objectifs
fixs par lorganisation, puis sassurer quil existe un dispositif de contrle
interne parfaitement adapt sa situation et, si tel nest pas le cas, faire
toutes les propositions ncessaires pour y pourvoir.
Le problme de son rattachement fait lobjet, depuis des annes, de grandes
controverses. Dans la mesure o laudit interne sest, au fil des ans, loign
du domaine comptable et financier, le rattachement la direction financire
doit tre abandonn au profit dun rattachement la Direction gnrale.
Cette volution peut tre clairement observe en France, o 77 % des services daudit interne sont rattachs la direction gnrale ou au prsident du
6 Audit interne
Les normes professionnelles sont trs prudentes en ce domaine. Elles indiquent seulement - avec raison - que le responsable de laudit interne doit
relever dun niveau hirarchique permettant aux auditeurs internes dexercer
leurs responsabilits . Les modalits dapplication des normes sont plus explicites et penchent plutt en faveur dun rattachement au comit daudit, position qui nest soutenue ni par les entreprises franaises ni par lInstitut franais
des administrateurs, ni par lIfAcI. Nous croyons pour notre part que seul un
rattachement hirarchique la direction gnrale, doubl dun rattachement
fonctionnel au comit daudit peut donner laudit interne efficacit et indpendance, tout en facilitant un champ dinvestigation le plus large qui soit.
Laudit interne est une fonction en perptuelle volution, au rythme des
besoins changeants des organisations, et sa mutation nest pas acheve.
En France, si laudit interne est prsent bien implant dans les grandes
entreprises, lon observe encore de fortes diffrences selon les secteurs dactivit. La banque, par exemple, en raison essentiellement de ses caractristiques propres, mais aussi du rglement 97/02 et des contrles stricts exercs
par la Commission bancaire, a dvelopp un audit interne puissant, reconnu
et respect, ce qui nest pas encore tout fait le cas pour laudit interne des
secteurs de lindustrie, du commerce et des services.
En ce qui concerne le secteur public, beaucoup de progrs restent encore
faire, notamment au niveau de ladministration centrale de ltat, mme si la
mise en place rcente de la LOLF (loi organique relative aux lois de finance)
devrait tre trs bnfique limplantation de vritables services daudit
interne en son sein.
Si laudit interne est une profession norme, elle nest pas rglemente, sauf
dans quelques pays et parfois pour certains secteurs dactivit de ces pays. Il
nen demeure pas moins vrai que certaines lois peuvent avoir indirectement
une influence considrable sur laudit interne. Ce fut vrai en particulier avec
la loi Sarbanes-Oxley (SOX) de juillet 2002, qui conduisit beaucoup de services daudit interne, appartenant des socits cotes New York,
recentrer leurs activits sur des aspects de contrle interne comptable et
financier au dtriment de tous les autres. Ce phnomne conjoncturel ne
devrait pas perdurer.
Groupe Eyrolles
Conseil si lon en croit lenqute effectue par lIfAcI en 2005, contre 15 %

la direction financire. Elle est beaucoup moins marque dans dautres pays,
aux tats-Unis notamment, o le rattachement la direction financire
concerne encore 45 % 50 % des entreprises.
Prface 7
Sur le plan international, grce certes aux initiatives de lIIA1, mais aussi
celles des organisations telles que lECIIA2 pour les pays europens et du
bassin mditerranen ou lUFAI3 pour les pays francophones, laudit interne
a fait de formidables avances, mais tous les pays ne le pratiquent pas de la
mme faon et les comparaisons sont parfois difficiles, mme entre les pays
considrs comme les plus avancs.
Comme en toute chose, il ny a pas de vrit absolue sur la faon dont laudit
interne doit tre pratiqu et bien souvent, lidal, cest le possible. En consquence, les entreprises qui ont des filiales ltranger doivent viter tout
dogmatisme. Et tout en restant fermes sur les grands principes, elles doivent
imprativement tenir compte des cultures, des usages, de la ralit de la
corporate governance et de la faon dont le rle de laudit interne est peru.
Ce nest quen agissant avec prudence et doigt que les meilleures pratiques
en audit interne y seront peu peu implantes.
Groupe Eyrolles
Louis Vaurs,
Dlgu Gnral de lIfAcI
1. Institute of Internal Auditors : association internationale qui fdre les instituts daudit
interne nationaux.
2. European Confederation of Institutes of Internal Auditing : Confdration Europenne des Instituts dAudit Interne.
3. Union Francophone de lAudit Interne.
Remerciements
es remerciements les plus vifs sadressent lIfAcI1, plus particulirement Louis Vaurs, dlgu gnral de lIfAcI, ainsi qu
Florence Fradin et Batrice Ki-Zerbo, respectivement ancienne et actuelle
directrice de la recherche lIfAcI, pour laccueil chaleureux quils ont
rserv ce projet douvrage, ainsi que pour leur soutien sans faille.
lisabeth Bertin
1. Institut de lAudit Interne, auparavant dnomm Institut Franais de lAudit et du

Contrle Internes.
Groupe Eyrolles
Sommaire
Prface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Remerciements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Introduction gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Partie I
Lorganisation et la conduite de laudit interne

en environnement international
Chapitre 1 Organisation et mthodologie de laudit interne . . . . . . . . . . . . . 17

Approches historique et thorique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Approches organisationnelle et mthodologique. . . . . . . . . . . . . . . . . . . . . . . . 28
Chapitre 2
Une comparaison des principaux rfrentiels

de contrle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
La porte du contrle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Les composantes du contrle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Les acteurs du contrle interne et leur responsabilit . . . . . . . . . . . . . . . . . . . . 87
Chapitre 3
Audit et contrle interne bancaire : la gestion de multiples

rfrentiels en contexte international . . . . . . . . . . . . . . . . . . . . . . . . . 95
Laffirmation du rle cl du contrle interne dans la banque . . . . . . . . . . . . . . . 96
Une analyse comparative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Chapitre 4
Les difficults de communication lies la pratique

de laudit interne linternational . . . . . . . . . . . . . . . . . . . . . . . . . . 115
La communication dans les activits daudit interne . . . . . . . . . . . . . . . . . . . . . 116
La communication crite au service des auditeurs internes . . . . . . . . . . . . . . . . 118
La communication orale au service des auditeurs . . . . . . . . . . . . . . . . . . . . . . . 124
Le comportement comme vhicule de communication . . . . . . . . . . . . . . . . . . 129
Partie II
Groupe Eyrolles
La contribution de laudit interne au processus de gouvernance de

lentreprise en environnement international
Chapitre 5
Lobjectivit de lvaluation de la corporate governance

par laudit interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Laudit interne comme mcanisme de corporate governance . . . . . . . . . . . . . . . . . 138
Les conditions de compatibilit des missions de laudit interne
avec la corporate governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
10 Audit interne
Chapitre 6
La loi Sarbanes-Oxley et la coopration audit interne/

audit externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
La coopration audit interne/audit externe : pour une plus grande efficacit
du processus de gouvernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Les dterminants de lampleur de la coopration
audit interne/audit externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
thique et audit interne :
la problmatique du whistleblowing . . . . . . . . . . . . . . . . . . . . . . . . 185
Un dilemme thique pour les auditeurs internes . . . . . . . . . . . . . . . . . . . . . . . 187
Une gestion matrise des situations par les auditeurs internes. . . . . . . . . . . . . 192
Chapitre 8 Fusions-acquisitions : le rle de lauditeur interne . . . . . . . . . . . . . . 197

Les fusions-acquisitions : opportunits et risques associs . . . . . . . . . . . . . . . . . 199
Lauditeur interne dans le processus dachat : un atout pour la matrise
des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Partie III
La mise en uvre daudits spcifiques en environnement international
Chapitre 9 Laudit des fraudes dans les filiales . . . . . . . . . . . . . . . . . . . . . . . . . 221

Les valuations liminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Les fraudes gnriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
La fraude des employs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Chapitre 10 Laudit des fraudes sur les systmes dinformation . . . . . . . . . . . 243
Enjeux, objectifs et univers de laudit sur les systmes dinformation . . . . . . . . 244
Dtection et prvention de la fraude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Chapitre 11 Audit social : fondements, mthodologie
et volutions stratgiques . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Laudit social : fondements, rles et composantes . . . . . . . . . . . . . . . . . . . . . . . 269
Laudit social dans un contexte international . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Chapitre 12 Laudit stratgique : positionnement, dmarche et risques . . . . . 289
Le positionnement et les rles de la stratgie
dans lentreprise internationale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
La dmarche de laudit stratgique : ltablissement dune performance durable 295
Les risques associs laudit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Conclusion gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Bibliographie gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Prsentation des auteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Groupe Eyrolles
Chapitre 7
Introduction gnrale
et ouvrage collectif a pour objectif de donner une vision aussi exhaustive que possible des spcificits et des enjeux de laudit interne en
contexte international.
Les contributions concernent :

les aspects mthodologiques, organisationnels ou comportementaux de
laudit interne ;
ou le rle jou par laudit interne au sein du processus de gouvernance de
lentreprise ;
ou laudit des processus spcifiques.
Ce livre revt un intrt significatif pour les entreprises franaises ayant une
ou des filiales ltranger, et/ou les entreprises trangres ayant une ou des
filiales en France, et/ou les groupes multinationaux. Plus prcisment, il
fournit une comparaison internationale de normes, de rglementations, de
comportements. Il met en vidence ladaptation de mthodologies, traite des
enjeux et des limites dune harmonisation internationale de pratiques et met
en lumire limpact des diffrences culturelles.
Groupe Eyrolles
Il convient de souligner lactualit du sujet : la mise en conformit avec la

Loi Sarbanes-Oxley (2002), de porte internationale, et les dispositions de
la huitime directive europenne rvise (2006) affectent considrablement
le processus daudit global, et par consquent, directement ou indirectement,
la fonction daudit interne.
Loriginalit de ce livre rside dans lassociation de points de vue denseignants-chercheurs et de professionnels de laudit interne. Les praticiens enrichissent la rflexion dune exprience multisectorielle capitalise auprs de
grandes entreprises, en France et ltranger. Les professionnels sont auteurs
ou coauteurs de contributions. Des directeurs de laudit interne ont galement t interrogs ou consults dans le cadre de la rdaction des chapitres.
12 Audit interne
Sur un plan mthodologique, la diversit des dmarches ajoute la richesse

de cet ouvrage. La rflexion prend appui tantt sur une synthse de la littrature existante ou sur une analyse documentaire, tantt sur lanalyse des rsultats dune enqute ou sur des tmoignages dexprience. Elle aboutit souvent
un guide des meilleures pratiques.
Il offre, en premier lieu, un support pdagogique aux tudiants en master

professionnel des Universits et des coles de commerce qui se destinent au
mtier dauditeur interne ou de contrleur interne. Il claire les dfis lancs
par laudit interne en tant que matire en devenir. Il incite galement les tudiants en Master Recherche se spcialisant en audit et contrle approfondir
certaines problmatiques de manire plus structure et faire merger de
nouvelles questions de recherche.
Ce livre nintresse pas moins les professionnels de laudit et du contrle
internes travaillant dj ou projetant de travailler dans un contexte international, quils exercent ou envisagent dexercer au sein dune entreprise,
dune banque ou du dpartement audit et contrle internes dun cabinet
daudit et de conseil.
Ces quelques pages apporteront leurs lecteurs une culture, un complment
de formation, des lments de mthodologie, une prise de recul et des pistes
de rflexion relatifs aux spcificits et aux enjeux de la pratique de laudit
interne dans un environnement international.
Les diffrentes contributions ont t agences au sein de trois parties, chacune tant constitue de quatre chapitres.
Dans la premire partie, consacre lorganisation et la conduite de
laudit interne linternational , le premier chapitre dresse le dcor, en
fournissant au lecteur un cadre danalyse historique et thorique de la cration de la fonction daudit interne et un aperu des approches organisationnelle et mthodologique de laudit interne sur la base dune tude empirique.
Le deuxime chapitre propose une tude comparative des quatre principaux
rfrentiels du contrle interne, ns dans diffrents pays, la disposition des
auditeurs internes : le COSO 1, le COCO, le Turnbull Guidance et le
Cadre de rfrence de lAutorit des Marchs Financiers.
Le troisime chapitre complte utilement la contribution prcdente.
Il dresse un bilan des points de convergence et des difficults de mise en
uvre des dispositifs de contrle interne dans le secteur bancaire.
Groupe Eyrolles
De par la diversit de son contenu et ses diffrentes facettes, ce livre sadresse

plusieurs catgories de cibles.
Introduction gnrale 13
Enfin le quatrime chapitre, incontournable, met en exergue les difficults

de communication dans les activits daudit interne, et aborde, comme
corollaire de la communication, les attitudes et les comportements qui sont,
compte tenu des diffrences de culture auxquelles sont confronts les auditeurs internes, des lments importants prendre en compte.
La deuxime partie, intitule la contribution de laudit interne la gouvernance de lentreprise en contexte international , compte elle aussi quatre
chapitres.
Le cinquime chapitre prcise le concept de corporate governance , puis

dfend la thse selon laquelle, sous certaines conditions, le comit daudit
serait le garant dun jugement objectif de la part de la fonction daudit
interne vis--vis du processus de gouvernance dentreprise.
Le sixime chapitre, lui, sinterroge sur linfluence de la loi Sarbanes-Oxley
sur la coopration audit interne/audit externe. Il dmontre les bienfaits
dune interaction audit interne - audit externe sur le processus de gouvernance de lentreprise, puis tudie les modalits et les conditions de lefficacit
du processus daudit global.
Quant au septime chapitre, il envisage le whistleblowing, institu par la loi
Sarbanes-Oxley, comme un dilemme thique pour lauditeur interne et nous
interpelle sur le rle que ce dernier devrait jouer.
Le huitime chapitre pose la question de savoir si lauditeur interne peut
contribuer renforcer la matrise des processus de fusions-acquisitions, puis
met tout particulirement en vidence le rle de lauditeur interne en
matire de gouvernance dentreprise, dans un contexte propice aux conflits
dintrts entre actionnaires et dirigeants.
Enfin, la troisime partie traite de la mise en uvre daudits spcifiques en
environnement international , avec elle aussi quatre chapitres.
Ainsi, le neuvime chapitre constitue un guide pour permettre tout auditeur de se poser les questions pertinentes au regard de la recherche des fraudes dans les conditions normales dune gestion de filiales.
Groupe Eyrolles
Le dixime chapitre se focalise, quant lui, sur la dtection et la prvention

de la fraude sur les systmes dinformation.
Le onzime chapitre expose une mthodologie de laudit social, prcise ses
enjeux et ses limites au sein des multinationales et prsente les liens de laudit
social avec le concept de responsabilit sociale de lentreprise et les opportunits stratgiques qui en dcoulent.
14 Audit interne
Le douzime et dernier chapitre dcrit la dmarche, les indicateurs ncessaires ltablissement de laudit stratgique, les risques lis la ralisation de ce
type daudit, avant de conclure sur la ncessaire mise en place dun vritable
rfrentiel partag.
Pour finir, les diffrents contributeurs1 sont, par ordre dintervention :

Eustache Ebondo wa Mandzila ;
Louis Vaurs ;
Florence Fradin ;
ric Lamarque ;
Francis Lamarque ;
Christian Bertheuil ;
Christophe Godowski ;
lisabeth Bertin ;
Christian Prat dit Hauret ;
Christine Pochet ;
Alessandro Reitelli
Nol Pons ;
Valrie Berche ;
Franois Vidaux ;
Julie Tixier ;
Patricia Coutelle-Brillet.
1. La prsentation des auteurs figure la page 315.
Groupe Eyrolles
Concernant la bibliographie, la totalit des rfrences cites est reprise en fin

douvrage.
Partie I
Lorganisation et la conduite
de laudit interne
Chapitre 1
Organisation et mthodologie
de laudit interne
PAR EUSTACHE EBONDO WA MANDZILA1
Professeur Euromed Marseille

cole de Management
audit interne, tel quil est organis et pratiqu aujourdhui en France et

dans le reste du monde, rsulte du besoin de matrise des directions
gnrales, confrontes la taille de leur entreprise, laugmentation du
volume dinformations, la pression de lenvironnement, enfin des centres
dexploitation de plus en plus nombreux et situs dans un grand nombre de
pays. Cette contribution a pour objectif de fournir au lecteur un cadre
danalyse historique et thorique de la cration de la fonction daudit interne
et un aperu des approches organisationnelle et mthodologique de laudit
interne des entreprises internationales franaises.
Approches historique et thorique

La cration de la fonction daudit interne dans les entreprises sinscrit dans le
cadre plus gnral de lvolution de la notion daudit.
Groupe Eyrolles
volution historique de laudit et naissance de la fonction

audit interne
Le mot audit, qui nous vient du latin audire, cest--dire couter , a pour
anctre en France le commissariat aux comptes, institu par la loi du
24 juillet 1867. Le commissaire aux comptes avait alors pour rle la vrification des comptes. On parla de rvision des comptes avant de lui prfrer le
1. Lauteur remercie lIfAcI et les directeurs daudit interne des entreprises qui ont
rpondu au questionnaire, notamment Jean-Jacques Vaudoyer de Renault et
Georges Deniau de la socit Onet.
terme daudit qui a une connotation plus valorisante. Progressivement, le

terme daudit connut un largissement la fois horizontal et vertical en
raison de limage de rigueur quil vhicule, des risques quil parvient identifier, des politiques et des plans quil doit accompagner, des conomies quil
permet de raliser, de linstabilit de lenvironnement, de la complexit des
paramtres de gestion et de contrle quil doit matriser.Toutes ces vertus
associes au mot audit ont fortement contribu son dveloppement et sa
gnralisation. Il existe vritablement un march de laudit et des thories
relatives ce march tentent dexpliquer la demande et loffre des services
daudit (Ebondo wa Mandzila, 2006). Cette implantation ou cette dmocratisation de laudit a fait dire Power (1997) que nous tions entrs dans la
socit de laudit . Ainsi, lactivit daudit a fait lobjet de plusieurs dclinaisons. En effet, sur le plan vertical, le champ dapplication ou les domaines
dintervention de laudit ont t largis. Aujourdhui, laudit a pntr tous
les domaines, toutes les fonctions, toutes les activits ou toutes les oprations
de lentreprise, tous les stades dcisionnels. Certaines entreprises font mme
lobjet de plusieurs audits au cours dun exercice ou dune priode. Sur le
plan horizontal, la pratique de laudit sest tendue aux organisations publiques, aux associations et aux petites et moyennes entreprises. On parle ainsi
daudit dans les entreprises publiques, daudit des associations, daudit des
PME/PMI, daudit des filiales
Mais cette extension du concept et llargissement de son champ dapplication dans des domaines qui ne lui taient pas familiers nont pas toujours
contribu au renforcement de limage de laudit et sa clarification. Toutefois, quelques critres permettent de mieux saisir la notion daudit. Ainsi, il
peut tre apprhend selon les critres statutaires, gographiques et selon
lobjectif poursuivi.
Selon le critre statutaire, on distingue laudit lgal de laudit contractuel. La
lgalit de laudit repose sur le fait que lactivit de lauditeur est exerce dans
un cadre lgal prdfini et obligatoire. En France, il se confond le plus souvent avec le commissariat aux comptes et aboutit une certification des tats
financiers. En revanche, un audit peut tre souhait ou sollicit par une
entreprise en dehors de toute obligation lgale pour rpondre des besoins
spcifiques. On parlera alors daudit contractuel, dans la mesure o les missions dun tel audit sont dfinies par le client. Laudit peut tre aussi examin
en fonction de la nature des objectifs assigns la mission. Entrent dans ce
cadre laudit financier et laudit oprationnel. Laudit financier apparat
comme la forme daudit la plus ancienne et la plus connue du public. Pour ce
Groupe Eyrolles
18 Lorganisation et la conduite de laudit interne en environnement international
Organisation et mthodologie de laudit interne 19
dernier, lobjectif principal est la certification1 du bilan et du compte de

rsultat, partir de deux notions fondamentales : la rgularit et la sincrit
des comptes annuels. Pour laudit oprationnel, plus orient vers les oprations de gestion, lobjectif est lvaluation des dispositifs organisationnels
visant lconomie, lefficience et lefficacit des choix effectus dans
lentreprise tous les niveaux et/ou lvaluation des rsultats obtenus de ces
dispositifs (Bouquin, 1997 ; Becour et Bouquin, 1996). Cest donc la
recherche de lefficacit, de lefficience, bref de lamlioration des performances de lentit audite qui anime lauditeur oprationnel.
On parle aussi daudit objectif tendu ou valuation globale. Ce type

daudit dsigne la synthse de laudit financier et de laudit oprationnel. Audel de sassurer de la conformit et/ou de la rgularit et de la sincrit des
comptes aux lois et rglements en vigueur, de dterminer lefficacit et lefficience de la gestion de lentit, il sagira aussi de dterminer si les objectifs
stratgiques sont atteints. Le schma n 12 ci-aprs prsente la hirarchie des
diffrentes formes daudit couramment utilises.
Groupe Eyrolles
Mais cette diversit daudits conduit envisager laudit sous langle territorial
ou gographique. Ainsi, selon le critre gographique, on distingue laudit
interne de laudit externe. Ce dernier est beaucoup plus connu sous le nom
daudit comptable et financier. Il est exerc par des experts indpendants de
lentit auditer. En revanche, laudit interne, objet de cet ouvrage, est ralis par des salaris de lentit audite. Il convient de prciser, dans un premier temps, la notion et les missions de laudit interne avant daborder, dans
un deuxime temps, les fondements thoriques et pratiques de la cration
dun service daudit interne.
1. Laudit financier peut ne pas avoir pour objectif la certification des comptes. Cest prcisment le cas lorsque est confie un professionnel la mission dexprimer une opinion sur les tats financiers, la situation et les rsultats financiers, par rfrence des
normes, dans le contexte par exemple dune acquisition, dune demande de crdit.
2. Ce schma est une adaptation de la Direction gnrale de lAdministration et de la
Fonction Publique et Inspection Gnrale de lIndustrie et du Commerce du guide
interne Pour une bonne pratique de laudit (date non indique).
Finalits
DIAGNOSTIC
ET
PRESCRIPTION
VALUATION
GLOBALE
Politiques
Stratgies
EFFICACIT
Moyens
humains
Moyens
financiers
Moyens
matriels
Structures
Fonctions
Effectifs
Capitaux
Crdits
Budgets
Organisations
Systmes
quipements
AUDIT
OPRATIONNEL
OPRATIONS
INFORMATIONS COMPTABLES ET STATISTIQUES

RGULARIT
tats
financiers
Tableaux
de bord
ACTION
BUT
AUDIT
FINANCIER
TYPOLOGIE
Schma n 1 - Hirarchie des diffrentes formes daudit
Dfinition et missions de laudit interne

Les missions de laudit interne ne peuvent tre prsentes sans avoir pralablement dfini celui-ci.
Dfinition de laudit interne

LInstitute of Internal Auditors (IIA)1, dont lune des missions est dlaborer
les normes et les pratiques professionnelles, a donn en 1999 une dfinition
de laudit interne, adapte par lIfAcI2 en ces termes : Laudit interne est
1. LIfAcI est le chapitre franais de lIIA.
2. La dfinition adapte de laudit interne a t approuve par le conseil dadministration
de lIfAcI, en 2000.
Groupe Eyrolles
Objectifs
une activit indpendante et objective qui donne une organisation une

assurance sur le degr de matrise de ses oprations, lui apporte ses conseils
pour les amliorer et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une approche systmatique
et mthodique, ses processus de management des risques, de contrle et de
gouvernement dentreprise et en faisant des propositions pour renforcer son
efficacit.
Il ny a pas daudit interne et plus gnralement daudit sans dispositifs de

contrle interne1. En effet, la mission gnrale de laudit interne consiste
vrifier si les objectifs de contrle interne sont atteints. Le rfrentiel du
COSO2 I, distingue trois types dobjectifs de contrle interne :
les objectifs oprationnels (ralisation et optimisation des oprations : la
ralisation des oprations se traduit par lamlioration des performances et
la scurit du patrimoine ; loptimisation des ressources suppose une utilisation conomique et efficace des ressources aussi bien financires,
humaines, informationnelles, matrielles que structurelles) ;
les objectifs de fiabilit des informations financires ;
les objectifs de conformit aux lois et aux rglementations en vigueur.
ces trois objectifs de contrle interne, le COSO II (traduction IfAcI/
Price Waterhouse Coopers Landwell, 2005), dans une approche plus globale
de management des risques, assigne au contrle interne quatre catgories
dobjectifs : les objectifs stratgiques, les objectifs de ralisation et doptimisation des oprations qui incluent des objectifs de performance et de rentabilit, les objectifs de fiabilit des informations financires et non financires,
externes et internes, enfin les objectifs de conformit aux lois et aux rglementations en vigueur.
Les missions de laudit interne
Groupe Eyrolles
partir des trois objectifs du contrle interne qui viennent dtre indiqus,
peuvent tre associes diffrentes missions : audit oprationnel, audit financier et enfin audit de la stratgie.
1. Il est aussi vrai que laudit interne peut prconiser la mise en place dun contrle
interne qui nexiste pas. Sur la dfinition et les rfrentiels du contrle interne, voir la
contribution de Florence Fradin et Louis Vaurs, Une comparaison des principaux
rfrentiels de contrle interne (p. 53).
2. Acronyme de Committee of Sponsoring Organizations of the Treadway Commission,
i.e. le comit qui a conu ce rfrentiel.
La mission daudit oprationnel est plus tourne vers lefficacit de lorganisation et le respect des procdures crites mises en place. Lauditeur interne
doit procder un examen systmatique des activits ou des processus dune
entit en vue dvaluer lorganisation et ses ralisations et identifier les pratiques juges non conomiques, improductives et inefficaces, enfin de proposer des solutions damlioration et de sassurer ventuellement de leur suivi.
ces deux premires missions traditionnelles sajoute une mission daudit de

la stratgie. Ici, lauditeur doit identifier les risques associs aux objectifs et
aux grandes orientations stratgiques dfinies par lorganisation et valuer la
conformit ou la cohrence densemble entre ce qui avait t dit et ce qui est
fait dans le but dapprcier la performance des ralisations.
En outre, ces trois missions, Renard (2006) associe quatre niveaux de contrle
correspondant aux ges de laudit interne. Ainsi, laudit de conformit ou de
rgularit consiste vrifier la bonne application des rgles, procdures,
descriptions de postes, organigrammes, systmes dinformation En bref, il
compare la rgle et la ralit, ce qui devrait tre et ce qui est .
Pour sa part, laudit defficacit ne se contente plus de vrifier la conformit
aux lois et aux rglements, aux normes. Il doit sassurer que les procdures
mises en place sont conformes au rfrentiel, mais, et surtout, permettent
datteindre les objectifs pralablement dfinis par lorganisation.
Quant laudit de management, il consiste pour lauditeur interne
observer les choix et les dcisions, les comparer, les mesurer dans leurs
consquences et attirer lattention sur les risques et les incohrences
(Renard, 2006). Laudit de management est souvent assimil laudit de la
stratgie1 (Naaima, 2004).
Enfin, le quatrime niveau de contrle est celui de laudit de stratgie. On
estime aujourdhui que les dcisions stratgiques qui portent sur grandes
orientations et les choix fondamentaux sont potentiellement porteuses de
risques pouvant compromettre la vie de lorganisation. Laudit de stratgie va
1. ou audit stratgique. Voir dans cet ouvrage la contribution de Patricia Coutelle-Brillet,
Laudit stratgique : positionnement, dmarche et risques , p. 289.
Groupe Eyrolles
Dans le cadre dune mission daudit financier, oriente sur la fiabilit des
informations financires et la protection des actifs matriels, humains et
financiers, lauditeur interne doit sassurer, en relation avec les auditeurs
externes, que les procdures de contrle interne comptables sont fiables. Il
ne sagit nullement ici dune mission de certification des comptes.
consister apprcier la pertinence des objectifs et leur degr de cohrence

avec les finalits de lorganisation. Laudit de stratgie constitue le top
dveloppement de la fonction daudit interne. Pour raliser ce type daudit,
lauditeur interne doit disposer dun niveau dexpertise suffisant et faire
preuve dune grande maturit. On admet que ce type daudit soit confi
des consultants externes.
Investi de toutes ses missions de contrle, laudit interne a gagn en maturit

et en crdibilit puisquil doit dsormais fournir la direction des lments
dapprciation de leurs dispositifs de contrle interne et des lments damlioration aux oprationnels des entits audites sur le plan social, juridique,
informatique, fiscal, environnemental et qualit notamment.
Les fondements de la cration de la fonction daudit interne

Plusieurs courants thoriques permettent dexpliquer la cration des services
daudit interne.
La thorie des cots de transaction
Groupe Eyrolles
Pour les thoriciens des cots de transaction (Coase, 1937 ; Williamson,

1985), lentreprise, contrairement au march, apparat comme le mode
dorganisation qui permet de raliser des conomies sur les cots de transaction1. En effet, ce qui distingue les entreprises des marchs, cest la capacit
quont les entreprises internaliser certaines transactions et les raliser un
cot moindre que si elles avaient d se drouler sur les marchs (Ebondo et
Pig, 2002). Pour toutes ces raisons, les dirigeants des grandes socits
dabord, ceux des PME/PMI ensuite, ont t amens internaliser lessentiel
de leurs travaux daudit lgal grce la cration des services daudit interne.
Lobjectif recherch par les dirigeants et les commissaires aux comptes de
transfrer la ralisation des travaux de vrifications et de contrle de conformit des auditeurs internes a t clair : il sagissait de rduire les honoraires
verss aux auditeurs lgaux. La thorie des cots de transaction offre ainsi
une pertinente justification de la cration des services daudit interne dans les
entreprises. Dans les groupes internationaux, la thorie conomique des
1. P. Joffre, dans De nouvelles thories pour grer lentreprise du XXIe sicle (conomica, 1999),
distingue les cots de transaction ex ante, lis la slection du contractant, lactivit
de la rdaction de ngociation et de protection dun accord des cots de transaction
ex post lis aux ncessaires ajustements lors de perturbations non anticipes et lvaluation des comportements opportunistes .
cessions internes offre la mme explication. En effet, pour la thorie conomique des cessions internes, le recours des prix des cessions internes et/ou
des prix de transfert met en vidence ce que cote lentreprise le fait de
rpondre ses besoins par une solution interne. Selon Bouquin (2001), lorsque les entits ont la libert dacheter ou de vendre aussi bien lextrieur
qu lintrieur, les prix internes jouent un rle dterminant dans lobtention et lutilisation des ressources . Toutefois, Bouquin (2001) distingue
linfluence que la facturation interne peut avoir sur lallocation des ressources
(sadresser tel fournisseur plutt qu tel autre), de limpact, plus problmatique quelle peut avoir sur lamlioration de la performance des cots. Pour
lui, la perspective de devoir vendre en interne, sous concurrence extrieure,
incite les partenaires de lamont cooprer avec ceux de laval. La facturation
interne apparat ds lors comme un dispositif de renforcement de la gestion
par processus . Nanmoins, lorsquil sagit de tarifer des cessions entre
tablissements dune socit unique, limpact sur les comptes sociaux est nul.
En revanche, sil sagit des prix de transfert pratiqus entre des filiales dun
groupe juridiquement distinctes, lincidence des cessions sur les comptes de
chacune des filiales est vidente en termes de fiscalit notamment.
La thorie de lagence et de la gouvernance de lentreprise

On attribue la paternit de la thorie de lagence Jensen et Meckling
(1976). Dans leur article fondateur, ces deux auteurs considrent que le
fonctionnement des entreprises est caractris par des rapports contractuels.
On parle de relation dagence lorsquune entreprise ou une personne confie
la gestion de ses propres intrts une tierce personne. Lillustration la plus
courante est la relation contractuelle qui lie les propritaires du capital financier (actionnaires) appels le principal aux dirigeants de lentreprise,
appels agents . Pour Jensen et Meckling, cette dimension contractuelle
est porteuse au sein de lentreprise de conflits dintrts, qui sont facteurs de
cots. Ces conflits peuvent tre exacerbs lorsque le dirigeant est gographiquement loign des actionnaires. Les dirigeants de la filiale peuvent profiter
de la libert que leur offre lloignement gographique pour adopter un
comportement contraire aux intrts du groupe. Laudit externe apparat,
dans ce cadre, comme le mcanisme de contrle et de surveillance du comportement de lagent loign (dirigeant dune filiale), plus enclin faire supporter la maison mre des cots dagence et ne pas respecter toutes ses
obligations contractuelles. Laudit interne, manation de la direction gnrale,
na pas t considr par la thorie de lagence comme un mcanisme de surveillance au sein de la relation dagence. Mais, depuis quelques annes, la
Groupe Eyrolles
thorie de lagence a donn lieu de nombreux dveloppements sur la gouvernance des entreprises (Charreaux, 1997 et 2000) qui tendent intgrer
aussi laudit interne comme un mcanisme de gouvernance de lentreprise.
En effet, parmi les conflits dintrts susceptibles de slever entre les actionnaires et les dirigeants, lapproche actuelle de la gouvernance de lentreprise
semble privilgier la rsolution du conflit n du dsquilibre informationnel
(asymtrie dinformation) existant entre lagent et le principal. Laudit
interne, rattach au comit daudit (lorsquil existe), a (comme laudit
externe ou lgal) un rle fondamental jouer au sein de la gouvernance de
lentreprise. Pour Gramling et al. (2004), la gouvernance de lentreprise
compte quatre composantes : lauditeur externe, le comit daudit, le management la fonction daudit. La contribution de laudit interne en tant que
fonction participant la gouvernance peut tre apprcie via les relations
quelle entretient avec les trois autres acteurs responsables de la gouvernance
de lentreprise. La fonction daudit interne apparat comme une fonction
ressource. Toutefois, les auteurs reconnaissent que la nature et la valeur de
laudit interne comme fonction ressource sont contingentes de la qualit de
la fonction daudit interne. La gouvernance de lentreprise renforce lindpendance de lauditeur interne (Brody et Lowe, 2000). Le rle de laudit
interne dans la gouvernance de lentreprise peut sapprcier deux niveaux :
rduction des asymtries des informations et management des risques.
Groupe Eyrolles
Concernant le premier niveau, il est admis que par rapport aux actionnaires,
le dirigeant disposait, outre linformation comptable et financire, dune
information complte, issue de la comptabilit de gestion et du rapport
daudit interne dont il tait le seul destinataire. Lexistence dun comit
daudit1, destinataire du rapport de lauditeur interne, apparat ainsi comme
la courroie de transmission entre les auditeurs non seulement externes, mais
aussi internes et le conseil dadministration. Cest grce ce rattachement
que laudit interne peut contribuer la rduction des asymtries dinformation dans un gouvernement dentreprise.
Laudit interne a aussi un rle cl jouer au niveau du management des risques dentreprise et surtout dans le processus dlaboration du rapport sur le
contrle interne exig par la loi sur la scurit financire (LSF) aux socits
cotes. En effet, il a notamment pour mission dvaluer le systme de
contrle interne. ce titre, il est le mieux mme dalimenter le conseil
dadministration en informations sur les faiblesses du systme de contrle
1. Voir aussi dans cet ouvrage la contribution de Christophe Godowski, Lobjectivit
de lvaluation de la corporate governance par laudit interne (p. 137).
Selon ces deux auteurs, lauditeur interne exerce une influence sur cinq de
ses composantes. Il donne une assurance raisonnable quant au processus de
management des risques, que les risques sont correctement valus, que le
processus de management des risques a t bien valu, que le reporting sur
les risques majeurs a t correctement tabli et quun bilan sur la gestion des
principaux risques a t dress. Selon les rsultats de leur tude figurant dans
le tableau n 1 ci-aprs, dans lensemble, laudit interne ne joue, lheure
actuelle, quun rle modr dans le management des risques dentreprise. Ce
rle est appel se dvelopper, notamment pour valuer le processus de
management des risques de lentreprise.
Tableau n 1 - Les principaux rles de laudit interne dans le management
des risques dentreprise
Responsabilit
actuelle
Responsabilit idale ou
souhaite
Donner lassurance sur les processus de management

des risques
3,10
3,80
Donner lassurance que les risques sont correctement

valus
3,00
3,60
valuer les processus de management des risques

dentreprise
3,17
3,82
valuer le reporting des risques principaux
3,09
3,70
Revoir le management des risques principaux
3,19
3,76
Activits relatives au management des risques de

lentreprise
Source : Gramling A. A. et Myers P. M. (2006).

Classement de 1 5, selon le degr dimportance croissante :
1 = aucune responsabilit ; 2 = responsabilit limite ; 3 = responsabilit modre ;
4 = responsabilit importante ; 5 = responsabilit totale.
Les rsultats figurant dans le tableau n 2 suivant semblent lgitimer les rles
jous par laudit interne dans la gestion des risques dentreprise, voire les renforcer dans les diffrents domaines.
Groupe Eyrolles
interne ou sur les zones des risques susceptibles de nuire latteinte des
objectifs stratgiques, oprationnels, informationnels et de conformit.
Gramling et Myers (2006) ont mis en vidence le rle jou par laudit
interne dans le management des risques dentreprise.
Tableau n 2 - Les rles lgitimes de laudit interne

Responsabilit
actuelle
Responsabilit idale
Identifier et valuer les risques
3,38
3,50
Assister le management dans la recherche des solutions

aux risques
2,84
3,11
Coordonner les activits relatives au management des

risques de lentreprise
2,47
2,75
Consolider le reporting relatif aux risques
2,87
3,10
Maintenir et dvelopper le cadre duD management des

risques de lentreprise
2,49
2,73
uvrer en faveur de la mise en place du management

des risques de lentreprise
2,88
3,27
Dvelopper la stratgie du management des risques au

service du conseil dadministration
2,23
2,51
Activits relatives au management des risques

de lentreprise
Source : Gramling A.A. Myers P. M. (2006).
Les dterminants de la cration de la fonction daudit interne

La taille de lentreprise et la dispersion gographique des activits justifient
souvent la cration dun service daudit interne dans des entreprises voluant
sur le plan national et international.
Groupe Eyrolles
La taille de lentreprise
La taille de lentreprise est souvent associe au chiffre daffaires ou aux effectifs. Le nombre de salaris est le critre qui, de loin, dtermine la cration
dun service daudit interne. On considre gnralement quun service
daudit interne simpose raison dun auditeur interne pour mille salaris
environ (Van Cutsem, 1999). Il nest pas rare de rencontrer un service
daudit interne dans des entreprises disposant de moins de mille salaris.
Dans cette hypothse, outre leffectif, cest surtout limportance relative et la
nouveaut des oprations qui seront prises en compte pour dcider de la
cration dun service daudit interne. Dans les autres cas, le recours un
audit externe savre plus judicieux.
Mme si la cration dun service daudit interne est principalement dicte

par la taille, dans un groupe1, la dispersion ou lloignement gographique
des filiales par rapport au sige justifie la cration dun service daudit interne
au niveau du groupe, voire des filiales. Les missions attribuer au service
daudit groupe peuvent tre les suivantes :
sassurer que les procdures sont mises en place de faon homogne tant
au niveau du sige quau niveau des entits filiales ;
sassurer que les dcisions prises au niveau du sige sont correctement
appliques au niveau des filiales ;
sassurer que les informations en provenance des mmes filiales (les informations dcoulant dobligations lgales, les informations additionnelles,
i.e. reporting et linformation collecte) sont fiables ;
sassurer que les filiales respectent les lois et les rglements en vigueur dans
les pays o elles sont implantes.
En dfinitive, les services daudit interne dans les grandes entreprises nationales et dans les grands groupes internationaux ont pour mission de garantir
lunit de commandement et la cohrence globale des politiques et des stratgies entre le sige et les diffrents centres de responsabilit et/ou les entits
filiales du groupe. Lefficacit de laudit interne dans les grandes entreprises
nationales et dans les groupes internationaux dpend de lorganisation du
service daudit et de lapproche mthodologique utilise.
Approches organisationnelle et mthodologique

La problmatique de laudit interne des filiales ltranger nest pas trs diffrente de ce qui se passe au niveau des services ou des filiales mtropolitaines2.
Nanmoins, des spcificits culturelles, linguistiques, juridiques, comptables
et fiscales (Haffen, 1999) ainsi que lloignement gographique des filiales de
la maison mre, influencent lorganisation des services daudit interne et dans
une moindre mesure la mthodologie de laudit.
1. Selon Haffen (1999), un groupe est un ensemble de socits ayant chacune leur autonomie juridique mais tenues sous la dpendance dune socit tte de pont, dite
socit mre .
2. On y retrouve une quipe dauditeurs au niveau du sige qui effectuent des dplacements dans les villes ou lentreprise est implante. Des services daudit interne peuvent
tre aussi crs au sein de ses diffrentes implantations.
Groupe Eyrolles
La dispersion gographique
Lapproche organisationnelle de la fonction daudit interne

Pour permettre laudit interne daccomplir efficacement les missions qui lui
sont confies dans le cadre des grands groupes, lentreprise a le choix entre
une organisation centralise et dcentralise (Lemant, 1995, sous la direction
de Renard, 2006).
Lorganisation centralise de laudit interne
Dans les groupes internationaux, lactivit daudit interne est organise sous
forme de direction. Les auditeurs chargs de mener les investigations sont
organiss par mtier ou par comptence, ou par domaine ou filiale.
Groupe Eyrolles
La segmentation du service daudit interne par mtier

ou par comptence
La segmentation du service daudit interne par mtier ou comptence
consiste constituer des quipes dauditeurs internes par spcialit1 ou en
fonction de leurs comptences techniques. On y trouve des auditeurs comptables et financiers, des auditeurs informatiques, des auditeurs qualit, des
auditeurs marketing et ventes, des auditeurs environnementaux Gnralement, le service daudit interne est constitu dun responsable, de plusieurs
chefs de mission et dauditeurs (assistants dbutants et confirms). Le chef de
mission ou responsable de mission assure lexcution pratique de la mission,
gre de faon efficiente les ressources mises sa disposition, supervise les
assistants et tablit un rapport destination du directeur central de laudit.
ce titre, ils sont responsables du succs ou de lchec de la mission vis--vis de
la direction de laudit et des audits. Le directeur de laudit est responsable de
la conception du plan daudit, du respect de sa mise en uvre et du marketing du rapport final de laudit. Les assistants effectuent les investigations prvues dans le programme de vrification. Ces auditeurs internes ont en
commun de raliser des missions daudit dans leurs domaines de comptences respectifs, auprs des filiales pour le compte de la maison mre. Dans certaines entreprises ou grands groupes internationaux (comme France Telecom),
les services daudit sont constitus dun directeur de laudit, dun superviseur, des chefs de mission et des auditeurs. Compte tenu de lloignement et
de la disparit des filiales audites, la ralisation des missions exige une
1. Les plus grands cabinets daudit mondiaux (les big four ) ont adopt la mme structure. On y trouve des auditeurs spcialiss en informatique, banque/assurance ou par
secteur dactivit.
grande ouverture desprit, une grande capacit dadaptation. Lintrt de

cette formule rside dans les gains que procure toute spcialisation. Le
schma n 2 prsente la structure dun service daudit centralis.
La direction gnrale dun grand groupe peut aussi prfrer organiser la
direction de laudit interne en procdant une segmentation par domaine
ou par filiale.
Socit mre
du groupe
Direction d'audit interne

central
Autres services de contrle de filiales

commissaires aux comptes
Contrleurs de gestion,
Chef de mission
ou superviseur
Chef de mission
ou superviseur
Chef de mission
ou superviseur
Auteurs confirms
Auteurs confirms
Auteurs confirms
Assistants
Assistants
Assistants
Source : adapt de Renard (2006).

Schma n 2 - Structure centralise dun service daudit interne
La segmentation du service daudit interne par domaine ou par filiale

Lorganisation du service daudit interne par domaine ou filiale consiste non
plus spcialiser les auditeurs en fonction de leurs comptences techniques
ou leur spcialit, mais de leurs domaines dactivits ou de limplantation
gographique (Lemant, 1995, sous la direction de). Les services daudit
interne de ces entreprises gographiquement disperses sont clats par
rgion ou par pays dans un souci defficacit et aussi pour rsoudre les problmes linguistiques auxquels peuvent tre confronts les auditeurs. Le service
daudit interne reste unique, mais dispose des antennes dans une ville de son
domaine daction ou dans des filiales. Cette organisation est privilgie par
des groupes multinationaux dont les filiales ont des activits diffrentes. Trs
Groupe Eyrolles
Direction gnrale
souvent, laudit agit la demande, sur des domaines ponctuels et prcis, exigeant un niveau dexpertise lev.
Lorganisation dcentralise dans les entreprises internationales

Lorganisation dcentralise de laudit interne ne signifie nullement
quaucun service daudit interne central nexiste. Il sagit simplement de
doter les filiales, lorsque les conditions lexigent (taille de la filiale, importance des activits ou complexification des processus exigeant une valuation
rgulire du dispositif de contrle interne), de leur propre service daudit
interne et de leurs propres auditeurs internes locaux.
Les missions du service daudit interne des filiales

Les pouvoirs et les responsabilits du service daudit interne dcentralis sont
dfinis par le service daudit interne central. Dune faon gnrale, le service
daudit interne de la filiale a pour objectif de raliser des missions daudits
oprationnels nexigeant pas lintervention des auditeurs centraux. Il peut
sagir daudits de rgularit/conformit aux lois et aux rglements, tant
internes quexternes, ou daudits defficacit des procdures mises en place.
Les auditeurs internes dcentraliss peuvent aussi bnficier de lappui technique des auditeurs situs au niveau central. Les missions daudit de management, daudit spcifiques ou daudit global relvent de la comptence du
service daudit central.
Groupe Eyrolles
Les missions du service daudit central

Le service central daudit interne sassure quil ny a pas dcart entre le service
daudit interne dans les filiales et le service daudit central, notamment dans la
dmarche daudit, dans lutilisation des outils et des techniques daudit, enfin
dans la qualit des quipes. En dfinitive, le service daudit interne central
dans une organisation dcentralise un double rle (Lemant, 1995, sous la
direction de) : un rle daudit, dans la mesure o il doit raliser des missions
daudits transversaux portant sur des thmes spcifiques comme le dsinvestissement, le changement dans lorganisation ou des procdures, et un rle de
management global de laudit dans le groupe. Le service daudit interne central veillera alors aux aspects lis lorganisation du service daudit au niveau
du sige et des services dcentraliss daudit. Renard (2006) attribue au service daudit central quatre missions : une mission de dfinition des normes et
de la politique et des moyens, une mission de formation professionnelle, une
mission dvaluation des activits des auditeurs, enfin une dernire de ralisation
des missions spcifiques. Ces missions chapperaient la comptence des

units dcentralises daudit interne. Le schma n 3 ci-aprs prsente lorganisation dcentralise du service daudit interne.
Direction
gnrale
Service central
d'audit
Audit interne
Filiale 2
Audit interne
Normes
Formation
Audit de l'audit
Missions spcifiques
Source : Renard (2006).

Schma n 3 - Structure dcentralise dun service daudit interne
La ralisation des missions assignes laudit interne dpend aussi du positionnement hirarchique de la fonction dans lorganigramme du groupe.
Le rattachement hirarchique de la fonction daudit interne

Le rattachement hirarchique de laudit est prvu par la norme 1 110 et par
la Modalit Pratique dApplication (MPA)1 1 110-1 (IIA) et lInternational
Standards for Internal Auditing n 1000 de la Confdration Europenne des
Instituts dAudit Interne (ECCIA). Dans les grands groupes internationaux
ou dans les entreprises voluant strictement sur le territoire national, le service ou la direction de laudit interne peut tre rattach soit la direction
1. Les normes ont un caractre obligatoire alors que les MPA sont facultatives.
Groupe Eyrolles
Filiale 1
gnrale, soit au conseil dadministration ou au comit daudit, ou enfin

une direction oprationnelle.
Le rattachement du service daudit interne la direction gnrale
La direction daudit interne peut tre rattache la direction gnrale. Lintrt

dun tel rattachement rside dans la trs grande fluidit de linformation, diffuse de laudit interne vers la direction gnrale, et dans la ractivit dans les
prises de dcision. Pour Renard (2006), un tel rattachement permet aux auditeurs internes dexercer pleinement leur rle de conseillers du management,
dialoguant avec la direction gnrale et tous les chelons hirarchiques . Le
rattachement du service daudit interne la direction gnrale est adapt au
contexte amricain dans le cadre de la loi Sarbanes-Oxley, o il incombe la
direction gnrale (CEO) et au directeur financier (CFO) de produire un rapport sur le contrle interne et non au contexte franais (la loi sur la scurit
financire). En effet, en France, la responsabilit de la production du rapport
sur le contrle interne incombe au prsident du conseil dadministration ou de
surveillance. Linconvnient de ce rattachement est de sous-entendre que le
service daudit interne est le gendarme de la direction, ce qui ne rend pas bien
compte de son rle vritable dans le processus de management des risques, de
production et dlaboration de linformation financire et non financire. Par
ailleurs, un tel rattachement, dans le cadre des groupes internationaux peut, si
le dirigeant est opportuniste, priver les membres du conseil dadministration
dinformations sur la gestion des filiales.
Groupe Eyrolles
Le rattachement au conseil dadministration ou au comit daudit

Le service ou la direction daudit interne peut tre hirarchiquement rattach au conseil dadministration ou au comit daudit constitu en son sein.
Dans le cadre dune bonne gouvernance, le rattachement au conseil dadministration permet justement de rduire lasymtrie dinformation pouvant
exister entre les dirigeants et les reprsentants des actionnaires (le conseil
dadministration). Il ne sagit pas de priver la direction gnrale dun outil de
management, mais plutt, dans le contexte lgislatif actuel franais, de doter
le conseil dadministration dun outil didentification et dvaluation des risques, dont il devra faire tat dans un rapport exig par la loi sur la scurit
financire, joint au rapport de gestion. Par ailleurs, le dialogue avec la direction gnrale et les chelons hirarchiques ne serait pas non plus rompu. Le
champ dapplication ne change pas, puisque lauditeur interne exerce son art
sur les activits financires et non financires (COSO II). Il semble mme
que le rattachement de lauditeur interne au conseil dadministration ou au
Le rattachement une direction oprationnelle

Cette dernire solution, de loin la moins intressante dans le cadre dun
groupe, place le service daudit interne sous lautorit dune direction oprationnelle, gnralement la direction administrative et financire. Ce positionnement, consistant situer laudit interne un niveau moins lev que
les directions oprationnelles, peut indubitablement nuire son efficacit,
tant sur le plan national quinternational, lorsquil doit se dplacer dans des
filiales notamment. Mais il ne faut pas perdre de vue que ce rattachement
prsente, malgr tout, lavantage dun meilleur suivi technique du dpartement ou du service daudit interne.
En dfinitive, les trois solutions envisages comportent aussi bien des avantages que des inconvnients. Une tude ralise par le contributeur (2006)
visait connatre le sentiment des auditeurs internes sur le rattachement hirarchique leur paraissant plus efficace. Trente-cinq auditeurs internes ont
rpondu au questionnaire. Les rsultats de lenqute sont rsums dans le
tableau n 3 ci-aprs.
Il ressort du tableau que 37 % des auditeurs internes sont rattachs la direction gnrale, 31 % sont hirarchiquement rattachs au P-DG, et 20 % la
direction administrative et financire. Sont ensuite voqus la direction
Organisation, le secrtariat gnral, le comit daudit et le prsident du
conseil dadministration.
Pour plus de 80 % dauditeurs internes interrogs, leur rattachement la
direction gnrale (37,14 %) ou au P-DG (31,43 %) est une bonne chose
pour la fiabilit de linformation. Seuls 20 % pensent le contraire.
La mondialisation des conomies, les besoins de financement des entreprises
et les principes de bonne gouvernance semblent militer en faveur dun rattachement du service daudit interne au conseil dadministration et/ou au
comit daudit.
Groupe Eyrolles
comit serait de nature apaiser les tensions qui auraient pu apparatre entre
lauditeur externe et le dirigeant, dans une relation dagence pure, et instaurerait un climat de confiance entre les principaux acteurs de la gouvernance.
Tableau n 3 - Rattachement hirarchique des auditeurs internes

Rattachement hirarchique
Effectifs
Au prsident du conseil dadministration
2,86
Au P-DG
11
31,43
la direction gnrale
13
37,14
la direction gnrale adjointe en charge de la finance et

de laudit
2,86
Au secrtariat gnral
2,86
la direction du contrle gnral de la planification
2,86
la direction administrative et financire
20,00
Au comit daudit
2,86
la direction Organisation
2,86
Autres
2,86
35
100 %
Total
Source : Ebondo wa Mandzila (2006).
La mthodologie de laudit interne en contexte international

La mthodologie de laudit interne dans les entreprises internationales nest
pas fondamentalement diffrente de celle des entreprises voluant strictement sur le territoire national. Cette harmonisation mthodologique a t
rendue possible grce aux Normes professionnelles et Modalits pratiques
dapplication (MPA) labores au niveau international par lIIA1 et au niveau
de lUnion europenne (UE) par lECIIA. Toutefois, certaines spcificits
culturelles, linguistiques, comptables et fiscales peuvent tre observes pour
conduire une mission daudit linternational.
Spcificits des pratiques dans les entreprises internationales
Groupe Eyrolles
Les pratiques daudit interne dans les entreprises internationales se distinguent

de celles des entreprises non disperses gographiquement, au niveau des missions daudit, de la composition de lquipe dauditeurs et des rapports.
1. Ces normes sont adoptes et parfois adaptes par chaque chapitre national de lIIA.
Cest le cas en France de lIfAcI.
Les missions daudit dans les entreprises internationales
Les premires sont ralises au niveau de la direction de laudit groupe et

dans les filiales. Cest la direction de laudit groupe qui est responsable de
lexcution de ces missions. En revanche, les missions locales, cest--dire
celles rsultant du plan daudit de chaque entit ou filiale, sont ralises, aprs
approbation du plan daudit, par la direction de laudit groupe, par le service
daudit interne de la filiale, sil en existe un, ou par lquipe daudit central.
Les missions daudit mixtes ou horizontales sont ralises par des auditeurs
provenant de la direction de laudit du groupe et par des auditeurs des filiales.
Elles concernent une mme activit prsente dans les diffrentes filiales du
groupe. Lexcution des missions mixtes ou horizontales est assume par la
direction de laudit groupe.
La mise en uvre des missions daudits dans les entreprises internationales,
compte tenu de lloignement et des spcificits culturelles du lieu dimplantation des filiales, exige quune attention particulire soit accorde la composition de lquipe dauditeurs devant raliser des missions au niveau du
sige et des filiales du groupe.
La composition de lquipe dauditeurs interne du groupe
Les auditeurs internes dans les entreprises internationales se rpartissent en
deux catgories : ceux qui interviennent au niveau du groupe, cest--dire
des filiales du groupe, et dautres qui ninterviennent que dans leur zone
gographique. Certaines missions font appel des quipes mixtes (auditeurs
situs au niveau de la direction centrale de laudit et au niveau des filiales).
Des changes dauditeurs entre quipes peuvent tre organiss lorsquaucune
entit du groupe ne dispose des comptences dans un domaine complexe. La
direction daudit de filiale peut faire aussi appel un auditeur externe. Il
devra alors en informer la direction daudit du groupe et engage sa responsabilit. Le problme de la composition de lquipe dauditeurs se pose lorsque
les auditeurs du groupe sont amens raliser des missions daudit dans les
filiales du groupe. En effet, dans certaines de ces entits, larrive des auditeurs peut tre mal ressentie ou mal interprte. Il est ncessaire davoir une
Groupe Eyrolles
Les missions daudit sont ralises selon un plan pluriannuel tabli partir
dune analyse pralable des risques au niveau des diffrentes entits. Elles
peuvent tre ralises galement pour rpondre une demande spcifique.
Dans les entreprises internationales en effet, les missions daudit interne se
rpartissent en trois catgories : les missions de laudit du groupe, les missions
daudit interne locales et des missions horizontales ou mixtes.
quipe internationale dauditeurs pour sadapter tous les environnements

culturels et linguistiques. Ainsi, lquipe dauditeurs internes doit tre compose aussi dauditeurs de la nationalit du lieu dimplantation de la filiale. La
prsentation des auditeurs aux audits doit mettre laccent sur cet aspect
multiculturel des membres de lquipe et sur les outils et techniques utiliss
durant la phase dexcution ou de ralisation de laudit. Les obstacles culturels peuvent tre surmonts grce la construction dun plan daudit
monde devant comprendre des missions mixtes (auditeurs groupe et
auditeurs zones ralisent conjointement les missions). Il peut sagir aussi des
missions strictement locales, cest--dire confier les missions daudit des filiales des auditeurs locaux. Des correspondants ou des relais dans la zone gographique facilitent et coordonnent les relations de laudit avec les managers
de zone. De mme, certaines pratiques daudit peuvent tre perues comme
une inquisition intolrable lorsquil sagit, par exemple, de procder des
tests ou des observations physiques. Dans ces conditions, certains outils de
laudit doivent tre utiliss avec beaucoup de prcautions et leur utilit pralablement explique aux audits. Ceci est vrai notamment de lobservation
physique1. Des diffrences peuvent apparatre au niveau du rfrentiel de
contrle interne. Il convient dharmoniser sans dlai les approches daudit
entre les quipes centrales et dcentralises.2
En pratique
Les diffrences linguistiques peuvent mettre mal la conduite dune mission
daudit linternational, en raison des incomprhensions quelles suscitent.
En effet, une mauvaise traduction peut nuire la mission daudit dans la
filiale. Sans aller jusqu exiger des auditeurs la pratique de la langue du
pays dimplantation de la filiale, il leur est conseill la matrise de langlais
pour raliser des missions daudit linternational2.
Groupe Eyrolles
De mme, des diffrences lgislatives peuvent engendrer des risques daudit.

La connaissance la fois des lgislations trangres et franaises est indispensable pour conduire une mission linternational. Lauditeur peut sattacher
les services des juristes locaux par exemple. Ce qui est vrai sur le plan juridique lest aussi sur le plan comptable et fiscal o il est demand lauditeur
1. Lobservation physique ne doit pas tre clandestine, mais ponctuelle et valide.
2. Sur les difficults de communication en environnement international, voir dans cet
ouvrage la contribution de Christian Bertheuil, Les difficults de communication
lies la pratique de laudit interne linternational (p. 115).
interne groupe de ne pas chercher se calquer sur les mthodes franaises,

mais dessayer de comprendre la traduction, dans les tats financiers, des chiffres prsents en tenant compte des spcificits fiscales et comptables.
Les rapports daudit dans les entreprises internationales
Dans les entreprises internationales, chaque filiale rdige un rapport daudit
interne quil transmet la direction de laudit interne groupe. Ce dernier
rdige un rapport daudit consolid.
Lapproche daudit linternational

La mthodologie daudit est fonde sur lapproche par les risques. Il sagit de
mettre plat toutes les activits, tous les processus, toutes les fonctions afin
didentifier tous les risques internes et externes de lentreprise. Les scandales
anciens et rcents prouvent la justesse de cette dmarche. Mais, lorsque
lentreprise atteint une certaine taille et que ses activits sont rparties sur
plusieurs sites, cette approche trouve alors ses limites, puisque lauditeur ne
peut pas voir depuis le sige tout ce qui se passe dans les diffrents sites ou
filiales ltranger. Cest pourquoi lauditeur, dans son approche par les risques, ne doit se focaliser que sur des points prsentant un degr de risques
lev ou construire un plan daudit qui tienne compte de cette ralit. Les
directions daudit central ont le choix entre une approche par les grandes
fonctions de lentreprise (achats, production, commercial) ou par cycle,
une autre par les processus, et une dernire par mtier notamment. Un
savant dosage est souvent opr en fonction des spcificits, des activits ou
des fonctions sensibles du groupe ou des filiales. Dans la mesure o le plan
daudit a t labor, vient alors la conduite de la mission daudit interne.
La conduite dune mission daudit interne en contexte international

La conduite dune mission daudit interne en contexte international et
national comporte trois phases : prparation, ralisation et restitution des
rsultats.Trois acteurs interviennent dans la mission :
lauditeur : celui qui conduit la mission daudit ;
laudit : celui qui fait lobjet de laudit ;
le prescripteur daudit : celui qui donne lordre lauditeur de raliser la
mission daudit.
Groupe Eyrolles
Les spcificits culturelles, linguistiques, fiscales et comptables auxquelles

sont confronts les auditeurs lorsquils ralisent des missions daudit en contexte international vont influencer lapproche daudit.
Les phases
Prparer l'audit :
dcouvrir et acqurir
une connaissance gnrale
de l'entreprise
Auditer
Raliser l'audit
Restituer l'audit :
rendre compte des rsultats
Normes ou pratiques
gnralement admises
Techniques utilises
Prise de connaissance de la
documentation externe et
interne l'entreprise
Comparaison interentreprise
Entretien avec les responsables
valuation prliminaire de
l'existant
Mise au point du programme
d'intervention
Collecte des documents

Visites
Entretiens avec le topmanagement
Validation
Normes de travail
Vrifications terrain
Supervision
Validation des travaux
et rsultats
Entretiens guids auprs

des oprationnels
Tests et mise en
vidence des carts
Normes de rapport
Normes de communication
de rsultats
Runion de clture
Prsentation du pr-rapport
et commentaires, objections
Rdaction et envoi du
rapport final
Mise en plan du plan
d'action ou suivi de la
mise en oeuvre des
recommandations
Schma n 4 - Les trois phases dune mission daudit
Une mission daudit se prpare. Mais auparavant, lauditeur doit avoir reu
lordre ou le mandat deffectuer la mission. Le document qui fait dclencher
la mission daudit sintitule un ordre de mission pour lauditeur interne ou
une lettre de mission pour lauditeur externe. Il sagit gnralement dun
document dinformation court (une page) qui indique le prescripteur, le
destinataire et lobjet de la mission, les objectifs gnraux, le lieu et primtre
de la mission, la date du dbut et de la fin de la mission.
Phase de prise de connaissance de lenvironnement et de conscience
des risques ventuels
Cette tape, qui conditionne le succs ou lchec de la mission, prsente un
double objectif : prendre connaissance de lenvironnement et du domaine
auditer et prendre conscience des risques ventuels.
Groupe Eyrolles
La prise de connaissance de lenvironnement et du domaine auditer

Lauditeur ne peut pas se lancer dans lexcution dune mission daudit dans
une entit ou un domaine quil ne connat pas. Il doit prparer la mission en
commenant dabord par rassembler les informations ncessaires. Pour cela,
il collecte les documents suivants :
organigramme ;
dfinitions des fonctions ;
En dfinitive, lauditeur doit disposer des documents, dinformations et

dlments suffisants et pertinents pour acqurir une meilleure connaissance
de lenvironnement, du domaine et des risques susceptibles de menacer
latteinte des objectifs de la socit. Les informations ainsi collectes doivent
tre compltes par une analyse conomique et financire afin de situer le
domaine, comprendre son volution, comparer les principaux indicateurs
dactivit et de rsultat pour dtecter les risques globaux, les ratios financiers
dangereux et les volutions inquitantes.
La prise de connaissance ne se rsume pas la collecte des donnes et
leur tude. Lauditeur rencontre aussi les personnes concernes par la mission daudit et leur pose les bonnes questions. Il procde par interview
selon lordre hirarchique de la socit. En effet, tous les secrets de la
socit ne sont pas toujours transcrits dans les documents officiels. Lauditeur utilise aussi dautres outils comme les flow charts (ou diagrammes
de circulation) pour analyser le circuit des documents crs par lentreprise, la grille danalyse des tches et des fonctions pour sassurer de la
sparation des tches ou des fonctions incompatibles, le questionnaire de
prise de connaissance1 pour mieux cerner le contexte socio-conomique,
organisationnel et le fonctionnement du domaine. Ce questionnaire doit
tre conu de telle sorte que toutes les questions soient formules de
faon ce que la rponse oui indique une situation favorable et la
rponse non une situation dfavorable. Les rponses N/A (non applicable) doivent tre limites.
La phase de prise de conscience des risques et dopportunits damlioration
Toutes les informations ainsi recueillies, exploites ou analyses sont classes
dans un dossier permanent. Elles permettent lauditeur de raliser une va1. Il sagit de reprendre les questions que lauditeur se pose sur lentit auditer afin de se
familiariser avec elle, de permettre une orientation de la mission. La mise en uvre du
questionnaire de prise de connaissance se fait par interview, par analyse du systme
dinformation, des procdures, des documents et par observation.
Groupe Eyrolles
bilans et les comptes de rsultats ;

rapports des commissaires aux comptes ;
instructions oprationnelles et manuels de procdures crites et en
vigueur dans la socit ;
informations relatives aux problmes conjoncturels auxquels lentreprise
est confronte.
luation prliminaire des forces et faiblesses apparentes. Do llaboration par

lauditeur dun tableau des risques1 reproduit dans le tableau n 4 ci-aprs.
Tableau n 4 - Tableau des risques
Entit/
domaine/
opration
Objectifs
de
contrle
Forces et
faiblesses
apparentes :
F/f
valuation
prliminaire
des risques
R1
f (faiblesse)
lev
R2
moyen
R3
faible
Risques
Bonnes
pratiques
Ltablissement de la feuille de risques passe par le dcoupage du domaine

ou de lactivit en objets auditables, la dfinition des objectifs atteindre
par chacune des tches, lvaluation de limpact ou du risque associ en
cas de non atteinte de lobjectif de contrle, lindication des bonnes pratiques ou des critres dvaluation permettant dapprcier en termes de risques ou de rsultats observs, latteinte dun objectif de contrle,
lexpression dune opinion (son constat) en termes de force ou de faiblesse
ou de oui ou non . La dernire colonne est rserve lvaluation
prliminaire des risques. En effet, les risques identifis sont valus selon
deux critres : la probabilit de survenance du risque et limpact en cas de
survenance. En pratique, les auditeurs privilgient une cotation selon une
chelle de type : risque faible/moyen/lev. On comprend que la dmarche de lauditeur interne soit fonde sur lapproche par les risques. Schick
(2007) a labor un schma des risques rfrentiels, plus dtaill que nous
reproduisons ci-aprs.
Groupe Eyrolles
Le tableau des risques permet de cerner les objectifs daudit retenus, quil
conviendra de vrifier ultrieurement sur le terrain.
1. Ce document tait autrefois appel tableau des forces et des faiblesses apparentes
(TFfA) et prsente plusieurs variantes selon les auteurs. Les quatre premires colonnes
constituent le rfrentiel pour tout auditeur.
Empchements
Risques que
finalit ne soit
pas atteinte
Scnarios de survenance
Que peut-il se passer ?
Points de contrle
tapes cls du CI
Observables
Comment
savoir ce qu'il
en est ?
Impact
risque si
tape cl
dfaillante/
dficiente
Bonnes
pratiques
moyens du CI,
ressources
Consquences
Qu'est-ce que cela peut faire ?
Source : Schick (2007).

Schma n 5 - Les risques rfrentiels
La phase du choix des objectifs

Du tableau des risques dcoule le rapport dorientation (ou termes de rfrence, ou note dorientation). Il sagit dun document destination des audits dans lequel lauditeur synthtise les conclusions quil a pu faire sur les
zones de risques, les difficults envisages, rappelle les objectifs gnraux et
spcifiques, propose les services et les divisions qui seront audits, dfinit la
nature et ltendue des travaux raliser. Si les orientations proposes par
lauditeur sont acceptes, le rapport dorientation devient un document contractuel et engage les deux parties. Le programme de vrification ou la liste
des travaux effectuer par lquipe dauditeurs pour rpondre aux engagements du rapport dorientation est ensuite labor.
La phase de ralisation de la mission
Lauditeur poursuit deux objectifs :
mettre en vidence les faiblesses et les forces apparentes du dispositif de
contrle interne existant, identifies lors de la prparation de la mission ;
proposer des solutions damlioration.
Lquipe daudit affecte la mission ayant pris connaissance du programme
de vrification ou de travail (ou programme dintervention) contenant les
objectifs, va pouvoir raliser sur le terrain les travaux daudit.Tout commence
Groupe Eyrolles
Finalits
Objectifs de CI
du
stade/opration/
lment
Bonnes
pratiques
Risques
Objectifs
par une runion au cours de laquelle le droulement prvisionnel de la mission daudit (runions intermdiaires, rdaction du rapport), sans oublier la
logistique, devra tre rappel.
Le travail terrain : les vrifications
Cest la partie la plus rptitive de la fonction. Elle fait appel des techniques
(interviews, observation physique, sondages, examen analytique, narration,
flow chart , grille danalyse des tches) et des moyens (questionnaire de
contrle interne, tableaux de risques, feuille de test ou de couverture, feuille
de rvlation et danalyse des problmes). Concrtement, lauditeur sur le
terrain va procder des tests et des observations labores laide des
questionnaires et au cours desquels il met en uvre les feuilles de couverture
ou feuille de test. Celle-ci doit indiquer lobjectif et la priode du test, les
tests raliser, les conclusions sur chaque lment contrl et la conclusion
gnrale. Chaque dysfonctionnement constat dbouche sur ltablissement
dune feuille de rvlation et danalyse des problmes (FRAP) encore appele Feuille des risques , ou Feuille dvaluation du contrle interne ou
Feuille des risques rfrentiels .
La feuille des risques est un document trs utilis par les services daudit des
entreprises nationales et internationales pour synthtiser les informations
relatives un risque ou un dysfonctionnement constat. Le schma n 6 ciaprs prsente la structure dune FRAP.
Papier de travail
FRAP n
Problme (ou type de risque) identifi :

Constat :
Causes explicatives :
Consquences :
Solutions proposes :
tablie par : Approuve par : Valide avec :
le : le : le :
Groupe Eyrolles
Schma n 6 - Feuille de Rvlation et dAnalyse des Problmes ou feuille de risque
La validation des constats et des conclusions

Lauditeur doit systmatiquement valider ses constats ou ses conclusions en
les prsentant la connaissance du responsable afin de recueillir sa raction
sur les lments de preuve recueillis. Chaque FRAP est supervise par le chef
de mission qui lapprcie, situe sa place et son degr dimportance par rapport la mission. Les validations individuelles et successives sont suivies de
validations gnrales en fin de mission (la runion de clture).Tous les documents utiliss par lauditeur interne durant la phase de ralisation, appels
papiers de travail, sont rfrencs. Lensemble des FRAP aprs reclassement
constitue l ossature du rapport daudit.
Toute mission daudit sachve par la rdaction dun rapport. Cest pourquoi
au cours de cette phase, il convient dobtenir ladhsion des membres de
lquipe dauditeurs et des audits impliqus dans la mission lors de la runion de clture.
Celle-ci constitue un moment privilgi puisquelle offre aux auditeurs
loccasion de prsenter les conclusions gnrales de la mission et de recueillir
les objections ou les prcisions, voire les contestations des audits qui leur
seront utiles pour rdiger le rapport daudit.
Ce dernier est prvu par la norme 2 440 de laudit interne1, qui nonce clairement que cest au responsable quincombe la charge de communiquer les
rsultats de laudit. Ce rapport fait apparatre les mentions suivantes :
une page de garde comprenant le titre complet de la mission, la date, les
auditeurs ayant particip la mission ;
lordre de mission, qui doit tre plac en tte du rapport ;
le sommaire ;
une note de synthse de deux trois pages permettant aux destinataires
principaux du rapport davoir lessentiel des conclusions du travail
daudit, date et signe par le chef de mission ;
le rapport proprement dit ;
les annexes.
Toutefois, il ny a pas dunanimit sur la forme du rapport daudit dans les
entreprises (Renard, 2006). Pour certains auditeurs internes, le rapport doit
donc tre rdig, comme un rapport doit ltre selon la tradition . Pour
dautres auditeurs internes, le rapport daudit doit tre construit sous forme
de chapitres ou par cycle. Dans chaque cycle, lauditeur expose ses remarques
point par point, selon la structure de la FRAP : le problme, les faits, les causes, les consquences et les recommandations.
1. Les Normes professionnelles pour la pratique de laudit interne ont t publies en
langue franaise et sont disponibles sur le site Internet de lIfAcI, www.ifaci.com.
Groupe Eyrolles
La phase de restitution des rsultats de laudit : le rapport daudit
En pratique
Gnralement, le rapport daudit comporte une prsentation de lentit
(lieu, organigramme, description des procdures appliques) ; une analyse de lorganisation et du fonctionnement (problmes structurels rencontrs, analyse critique des tches/processus/fonctions) ; une analyse
conomique et financire mettant en vidence les ventuelles inexactitudes
ou irrgularits et enfin une opinion ou un jugement sur les dysfonctionnements par cycle ou opration qui doivent tre suivis des conclusions et des
recommandations.
Organisation et mthodologie de laudit interne

Les problmatiques lies lorganisation et la mthodologie de laudit
interne voluant linternational ont t examines dans une enqute par
questionnaire auprs des directeurs daudit interne des grands groupes franais. Lobjectif tait de mettre en vidence les approches organisationnelles et
mthodologiques des services daudit interne franais voluant sur le plan
international. Les caractristiques de lchantillon seront exposes avant la
synthse des rsultats obtenus.
Groupe Eyrolles
Caractristiques de lchantillon
Ces caractristiques seront apprcies travers quatre points : la population
interroge, les entreprises de lchantillon, les rpondants au questionnaire
adress et la taille des entreprises de lchantillon.
Lenqute a t effectue de janvier mars 2007 auprs des entreprises
capitaux privs et semi-publics ayant des implantations tant en France qu
ltranger (filiales).
Le questionnaire a t adress quinze grands groupes internationaux disposant de service daudit interne appartenant aux secteurs conomiques suivants :
grande distribution, automobile, tlcommunications, prestations de services
aux entreprises, assurances, banques, transports. Ladministration du questionnaire sest droule par lenvoi dun questionnaire par courrier lectronique.
En dpit de relances, seules quatre entreprises ont rpondu, ce qui correspond
un taux de retour de 26,70 %. Les secteurs reprsents sont les suivants :
grande distribution : 1 ;
automobile : 1 ;
tlcommunications : 1 ;
prestations de services aux entreprises : 1.
Si ce taux de rponse prsente une valeur descriptive intressante au niveau

de lanalyse des rsultats, sa valeur prdictive restera limite aux entreprises
de lchantillon. Quant aux rpondants, ce sont trois directeurs daudit
interne et un superviseur.
Les rsultats de lenqute
La taille de lentreprise
La taille de lentreprise apprcie au travers de leffectif et du chiffre daffaires
est considre comme un lment dterminant de la cration de la fonction
daudit dans une entreprise nationale ou internationale. Les rsultats de notre
enqute (tableau n 5 ci-aprs) vont dans le sens de cette hypothse.
Tableau n 5 - Taille de lentreprise
Taille
Effectifs
Chiffre daffaires
Socit C
Socit O
220 000
191 000*
47 000
12 000
25 milliards
deuros
51,7 milliards
deuros
1 015 632 K**
44 milliards
deuros
*Effectifs du groupe au 31/12/2006 ; **chiffre daffaires au 31/12/2005.
Il apparat quen termes deffectifs, les grands groupes disposant de services

daudit interne affichent des effectifs compris entre 12 000 et 220 000 salaris rpartis dans le monde entier. Cest le secteur de la grande distribution
qui emploie le plus de salaris, suivis du prestataire de service aux entreprises,
de celui des tlcommunications et enfin celui de lautomobile. En termes
de chiffre daffaires, le secteur des tlcommunications se dtache nettement,
suivi de lautomobile.
Lvolution de la fonction daudit interne
Laudit interne a t dfini par lIIA comme une activit indpendante et
objective qui donne une organisation une assurance sur le degr de matrise
de ses oprations, lui apporte ses conseils pour les amliorer, et contribue
crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en
valuant, par une approche systmatique et mthodique, ses processus de
Groupe Eyrolles
Ils portent sur les aspects suivants : taille de lentreprise, volution de la fonction
de laudit interne, organisation du service daudit dans les grands groupes, rattachement du service daudit interne, identification des risques groupe , construction du plan daudit et conduite dune mission daudit linternational.
management des risques, de contrle et de gouvernement dentreprise et en

faisant des propositions pour renforcer son efficacit . Cette dfinition assigne laudit la mission de contribuer au management des risques et la
bonne gouvernance de lentreprise. Dans ce cadre, aux tats-Unis et en
France notamment, des lois ont t votes. En France, la loi LSF exige du
prsident un rapport sur le contrle interne. Lauditeur interne a pour mission
dvaluer le dispositif de contrle interne mis en place. Cette responsabilisation lgislative du prsident en matire de contrle a-t-elle eu une incidence
sur la fonction de lauditeur interne, notamment au niveau de la pratique de
laudit, des missions et des moyens ? Il tait aussi important de savoir si lauditeur participait au processus dlaboration du rapport sur le contrle interne.
Les rponses ces questions sont rsumes dans le tableau n 6.
Tableau n 6 - volution de la fonction audit interne
Questions
Estimez-vous que les lois LSF et SOX ont eu
une grande influence sur la fonction daudit
interne ?
Si oui, cette influence se situe-t-elle au niveau :
- de la pratique daudit ?
- des missions ?
- des moyens ?
Lauditeur interne participe-t-il directement dans
votre socit, au processus dlaboration du rapport sur le contrle interne ?
Socit Socit Socit Socit

C
F
0
R
oui
oui
oui
oui
non
oui
non
non
oui
non
oui
oui
non
non
oui
oui
oui
non
oui
oui
Groupe Eyrolles
Selon ce tableau, les lois LSF et SOX ont eu une grande influence sur la
fonction daudit interne au niveau des missions notamment. En revanche,
pour un auditeur seulement sur trois, cette influence se situe au niveau de la
pratique et des moyens. En dautres termes, les lois nont pas eu dimpact sur
la pratique daudit et sur les moyens offerts aux auditeurs internes.Trois auditeurs sur quatre reconnaissent que lauditeur interne participe directement au
processus dlaboration du rapport sur le contrle interne. Cette situation
devrait influer sur le rattachement hirarchique de lauditeur interne.
Le rattachement hirarchique de la direction de laudit interne
Le positionnement hirarchique est le meilleur indicateur pour apprcier le
rle et limportance et par consquent le pouvoir ou linfluence de laudit
interne dans une entreprise.
Une direction daudit interne peut tre rattache, comme il a t dj mentionn, la direction gnrale ou au conseil dadministration et/ou au
comit daudit, soit enfin une direction oprationnelle. Ce dernier cas est
rare dans les grands groupes1. Le tableau n 7 fournit quelques lments de
rponse. Pour un directeur daudit interne sur quatre, la direction de laudit
est rattache hirarchiquement au prsident du conseil dadministration ou
de surveillance ; une direction de laudit interne sur quatre est galement rattache hirarchiquement au comit daudit. Il en est de mme pour la direction gnrale. Pour deux auditeurs interrogs sur quatre (50 %), la direction
de laudit interne est hirarchiquement rattache au P-DG. Le rattachement
de laudit interne la direction gnrale du groupe lui confrerait des fonctions plus tendues que la simple vrification dlgue la filiale du contrle
interne. Son action peut stendre des audits defficacit des fonctions et
des missions dappui aux filiales sur diffrents sujets.
La tendance actuelle dans les grands groupes internationaux franais est au
rattachement de la direction de laudit interne au conseil dadministration ou
au comit daudit. Lobjectif clairement affich est de renforcer le rle du
conseil dadministration en le dotant des moyens de contrle de laction
managriale. Cest implicitement aussi une faon de reconnatre lauditeur
interne comme un acteur cl et majeur de la gouvernance dentreprise. Plus
le groupe est important en termes de taille, plus laudit interne sera renforc
et tendra devenir le ciment principal de contrle du groupe (Haffen, 1999).
Tableau n 7 - Le rattachement hirarchique du service daudit interne en contexte
international
Questions
Le service daudit central est-il rattach
hirarchiquement au prsident du conseil
dadministration ou du conseil de
surveillance ?
Si non, est-il rattach :
- au comit daudit ?
- au DG ?
- au P-DG ?
Socit
C
Socit
F
Socit
O
Socit
R
oui
non
non
non
oui
non
oui
non
non
oui
non
oui
non
1. Le rattachement du service daudit interne une direction oprationnelle na pas fait

lobjet dune enqute ici.
Groupe Eyrolles
Lorganisation du service daudit interne

Dans les grands groupes, le service daudit interne est unique ou dcentralis. Les rsultats figurant au tableau n 8 font apparatre que tous les grands
groupes possdent un service daudit interne. Ce dernier peut tre centralis
ou dcentralis. Les quatre socits faisant partie de notre chantillon possdent toutes un service daudit interne central. Ce dernier est, pour quatre
socits sur quatre, segment en sous-services. Mais aucun service nest
clat par pays ou par zone. Il est intressant dobserver que deux socits sur
quatre ayant un service daudit central ont aussi dcentralis leur service
daudit interne. Malgr la dispersion gographique (multisites), le service
daudit interne reste nanmoins centralis. Pour une socit disposant dun
service daudit interne la fois central et dcentralis, les effectifs du service
daudit dcentralis seraient plus importants que ceux du sige. Des raisons
conomiques (rduction des frais lis notamment aux dplacements des
auditeurs du sige aux filiales) expliqueraient cette situation. En effet, un service daudit dcentralis, plus important en effectifs, est principalement
charg de sassurer que la qualit du contrle interne est satisfaisante et ceci
concerne toutes les fonctions de la filiale.Toute faiblesse doit tre signale au
niveau du service central.
Tableau n 8 Organisation du service daudit interne
Groupe Eyrolles
Questions
Socit Socit Socit Socit

C
F
O
R
Votre entreprise volue-t-elle sur le plan

international ?
oui
oui
oui
oui
Si oui, le service daudit interne est-il unique ou

central ?
oui
oui
oui
oui
Si oui, est-il segment en sous-services ?
non
oui
non
oui
Si non, les services daudit interne sont-ils clats par pays ou zone ?
NR*
NR
NR
non
Le service daudit interne de votre socit est-il

dcentralis ?
oui
oui
non
non
Si oui, le service daudit dcentralis est-il plus

important que celui situ au sige en
termes deffectifs ?
oui
non
NR
NR
Si oui, son rle consiste-t-il simplement :

- contrler la fiabilit des informations transmises
au sige ?
- sassurer du respect des procdures du
groupe ?
- les deux ?
- autres (prciser)
NR
NR
NR
NR
oui
NR
NR
NR
NR
NR
NR
NR
NR
NR
NR**
*Non-rponse
La responsabilit dans lidentification des risques groupe

Les risques auxquels les entreprises sont aujourdhui exposes font intervenir
plusieurs acteurs chargs de les identifier et de proposer des solutions visant
les matriser. Les auditeurs et les risk managers sont les principaux acteurs.
Selon les rsultats figurant au tableau n 9, si, pour deux socits sur quatre
faisant partie de notre chantillon la responsabilit de lidentification des risques incombe aux risk managers, ils sont aussi deux attribuer cette responsabilit aux auditeurs internes. Pour une entreprise sur quatre, cette
responsabilit est assume par les deux acteurs.
Tableau n 9 - Identification des risques groupe
Questions
Socit
C
Socit
F
Socit
O
Socit
R
La cartographie des risques dans votre

socit est-elle ralise par :
- un risk manager groupe ?
- des auditeurs internes ?
- les deux ?
Si oui, les auditeurs internes interviennentils dans lidentification des risques ?
non
oui
non
oui
non
non
non
oui
non
oui
NR
oui
La structure du plan daudit en contexte international

Des raisons conomiques peuvent amener le service daudit central ne pas
intgrer dans la construction du plan daudit des missions groupes . Il peut
aussi prfrer des missions mixtes. Selon le tableau n 10, la construction du
plan daudit en contexte international intgre la fois des missions groupes
et des missions mixtes pour trois socits sur quatre interroges. Une seule
socit dclare nintgrer dans son plan daudit que des missions groupes .
Groupe Eyrolles
**Il sagit dun service daudit unique, ayant comptence sur lensemble des activits du groupe
Tableau n 10 - Construction du plan daudit en contexte international
Questions
La construction du plan daudit de votre
socit comprend-elle :
- des missions groupes (auditeurs du
groupe) ?
- des missions mixtes (auditeurs groupes et
auditeurs zones, filiales) ?
Socit
C
Socit
F
Socit
O
Socit
R
oui
oui
oui
oui
oui
oui
oui
non
Source : adapt de Lemant O. (1995, sous la direction de).
POUR CONCLURE
Groupe Eyrolles
Laudit interne est une fonction organise sur le plan international. Ainsi, sa
mthodologie en contexte international nest pas fondamentalement diffrente de
celle dploye pour conduire une mission daudit interne au niveau national. Elle
sappuie sur les normes et les modalits pratiques dapplication dictes par lIIA,
traduites et adaptes dans chaque chapitre national, dont lIfAcI en France. Dautres
organisations rgionales (ECIIA, OCDE) et les directives europennes contribuent
galement mettre en place de bonnes pratiques en matire daudit interne et de
gouvernance dentreprise et permettent galement de se benchmarker . Il est
apparu nanmoins quun certain nombre de bonnes pratiques sont observes pour
mener une mission daudit interne, notamment au niveau de lidentification des
risques groupes, de la construction du plan daudit et au niveau des bonnes
pratiques pour sadapter aux diffrents environnements. De mme, les entreprises
voluant linternational adoptent une structure centralise ou dcentralise de leur
service. Le choix dune structure par rapport une autre dpend aussi des enjeux du
groupe et du rle quil entend faire jouer laudit interne.
Chapitre 2
Une comparaison des principaux

rfrentiels de contrle interne
PAR LOUIS VAURS,
Dlgu Gnral de lIfAcI,
ET FLORENCE FRADIN
Responsable de la Recherche lIfAcI1
la suite des nombreux scandales financiers qui ont secou les entreprises amricaines la fin des annes 1990 et au dbut des annes 2000,
les tats-Unis ont adopt le 30 juillet 2002, le Sarbanes-Oxley Act
(SOX). Selon larticle 404 de cette loi, le directeur gnral et le directeur
financier doivent se dclarer responsables de la mise en place et du maintien
dun processus de contrle interne comptable et financier au sein de leur
entreprise et procder une valuation de son efficacit au regard dun
modle de contrle interne reconnu. Les auditeurs externes doivent quant
eux mettre une opinion sur son efficacit.
Pour la mise en uvre de cette section 404, la Securities and Exchange

Commission (SEC) et le Public Company Accounting Oversight Board
(PCAOB) ont fortement recommand aux entreprises amricaines et trangres cotes New York dadopter comme rfrentiel de contrle interne le
document amricain publi en 1992 et intitul Internal Control Integrated
Framework ou COSO2.
Groupe Eyrolles
De ce fait, le COSO, qui tait trs largement utilis aux tats-Unis, sest vu
adopt par de nombreuses socits trangres (notamment franaises) cotes
New York.
1. Depuis octobre 2006, Florence Fradin est Responsable Doctrine, Rfrentiel et Qualit lInspection gnrale de BNPParibas.
2. Le cadre de rfrence centr sur le contrle interne, auquel il sera fait rfrence tout au
long de ce chapitre, ne doit pas tre confondu avec le cadre de rfrence pour la gestion des risques. labor par le mme groupe de travail et, par commodit, appel le
COSO 2, il a t diffus en septembre 2004.
Si lon veut tre trs puriste, seuls le COSO et le COCO peuvent tre considrs comme de vritables rfrentiels. En effet, le Turnbull sapparente
davantage un guide lattention des administrateurs dune socit cote
pour les aider tablir et rviser le systme de contrle interne.
Le 1er aot 2003 tait promulgue en France la loi de scurit financire
(LSF). Son article 117 cre lobligation pour le prsident du conseil dadministration ou du conseil de surveillance de rendre compte des procdures de
contrle interne mises en place par la socit3. En avril 2005, lAutorit des
Marchs Financiers (AMF) a confi un groupe de travail de Place , le
choix et/ou ladaptation dun rfrentiel de contrle interne lusage des
socits franaises soumises aux obligations de la loi du 1er aot 2003, en prcisant que le rfrentiel devait constituer un outil de gestion au service des
entreprises faisant appel public lpargne . Les travaux du groupe de place
ont t valids par lAMF et publis en dcembre 2006 sous le titre Le dispositif de contrle interne : cadre de rfrence .
Sur le plan europen4, les autres pays nont pas adopt de rfrentiel spcifique lexception du Royaume-Uni et de lIrlande (Turnbull Report).
Prcisons que les Pays-Bas considrent que le COSO constitue un modle
sur lequel on peut sappuyer, mais que dautres sont possibles.
1. SEC 8 avril 2004 : extrait du dcret dapplication de SOX.

2. Il a fait lobjet dune mise jour par le Financial Reporting Council en 2005.
3. Applique son origine lensemble des socits anonymes, lobligation pour le prsident du conseil dadministration ou de surveillance dtablir un rapport a t limite
en juillet 2005 par la loi pour la confiance et la modernisation de lconomie
(Loi Breton) aux seules socits anonymes faisant appel public lpargne.
4. Donnes issues du document Risk Management Control in EU- Discussion Paper publi
par la Fdration des Experts Comptables Europens (FEE) en 2004.
Groupe Eyrolles
Il est toutefois admis que lon peut utiliser tout autre cadre sil a t tabli par
un corps dexperts, a t dbattu publiquement et sil intgre des lments
qui englobent tous les thmes du COSO1. Les recommandations sur le
contrle interne publies en 1995 par lInstitut canadien des Comptables
Agres et connu sous le nom de COCO, et lInternal Control Guidance for
Directors on the Combined Code, dvelopp en 19992 par lInstitut des
Experts-Comptables dAngleterre et du Pays de Galle, communment appel
le Turnbull Guidance ou Turnbull, semblent rpondre aux exigences du
PCAOB et de la SEC. Bon nombre de socits anglaises et canadiennes, soumises au SOX, ont choisi malgr tout le COSO comme cadre de rfrence.
Une comparaison des principaux rfrentiels de contrle interne 55
Deux de ces trois rfrentiels trangers cits ci-dessus ont t labors essentiellement par des comptables : le COCO par lInstitut canadien des Comptables agrs et le Turnbull par lInstitut des Experts Comptables
dAngleterre et du Pays de Galle. Le COSO a t rdig, quant lui, par un
groupe de travail dominante comptable et financire, mais dans lequel lIIA
a jou un rle de tout premier plan. Si lIIA na pas fait du COSO le rfrentiel officiel de contrle interne des auditeurs internes, il en a fortement
recommand lusage.
Pour ce qui est du cadre de rfrence (CDR) de lAMF, il a t rdig par les
reprsentants des entreprises (MEDEF1, AFEP2, Middlenext3) et des institutions comptables (CNCC4 et CSOEC5) et par des personnalits qualifies
appartenant notamment lIFA6, lIfAcI, lAMRAE7 et aux big four .
Les recommandations du COCO sappliquent tous les types
dorganisation : aux organismes des secteurs public et priv but lucratif,
organismes sans but lucratif, administrations centrales ou locales. Celles du
COSO ont pour ambition de sappliquer toutes les socits y compris
celles de taille modeste, pour lesquelles des recommandations spcifiques
sont labores. Le Turnbull, fond sur un certain nombre de principes et
soucieux de mettre en exergue limportance du management des risques, est
devenu non seulement le guide des socits cotes Londres, mais aussi celui
des organisations du secteur public et des associations sans but lucratif britanniques. Mme sil est destin en priorit aux socits soumises la LSF, le
CDR AMF devrait pouvoir tre adopt par toute organisation, quelle soit
du secteur public, priv ou du monde associatif 8.
Groupe Eyrolles
Tous ces rfrentiels comportent certes de nombreux points communs.

Quelques nuances et divergences tant sur la forme que sur le fond peuvent cependant tre mises en exergue. Ce chapitre a pour objectif de prsenter une tude comparative de ces quatre rfrentiels de contrle interne
1.
2.
3.
4.
5.
6.
7.
8.
Mouvement Des Entreprises de France.

Association Franaise des Entreprises Prives.
Comit des valeurs moyennes europennes.
Compagnie Nationale des Commissaires aux Comptes.
Conseil Suprieur de lOrdre des Experts Comptables.
Institut Franais des Administrateurs.
Association pour le Management des Risques et des Assurances de lEntreprise.
Notons quen France, le rglement du Comit de la Rglementation Bancaire et
Financire (CRBF) n97-02 constitue le rfrentiel de contrle interne des tablissements bancaires et financiers.
(COSO, COCO, Turnbull, CDR AMF). cette fin, les trois dimensions
suivantes seront analyses :
la porte du contrle interne ;
les composantes du contrle interne ;
les acteurs du contrle interne et leur responsabilit.
La porte du contrle interne
Objectifs
Tous les rfrentiels saccordent pour dfinir le contrle interne comme un
ensemble de moyens aidant une organisation atteindre ses objectifs. Le
CDR AMF na pas dfini le contrle interne comme tant un processus .
Il a hsit entre systme et dispositif pour sarrter en dfinitive dispositif en insistant beaucoup sur le fait que cest un dispositif de la socit,
dfini et mis en uvre sous sa responsabilit. Le CDR AMF a retenu
comme le COSO une dfinition largie du contrle interne. Alors que la
LSF, dans son article 117, ne parle que de procdures de contrle interne, le
CDR AMF prcise dentre que le contrle interne ne se limite pas un
ensemble de procdures ni aux seuls processus comptables et financiers.
Les quatre rfrentiels identifient les trois mmes catgories dobjectif : lefficacit et lefficience des oprations, la fiabilit des informations financires,
la conformit aux lois et aux rglements en vigueur. Le CDR AMF na
cependant pas utilis le vocable objectif , afin dviter toute confusion
entre objectifs de contrle interne et objectifs de lentreprise.
Le COCO et le Turnbull ont complt ces trois objectifs, en largissant les
notions de fiabilit de linformation et de conformit aux lois et rglements
en vigueur. Ainsi, pour ces deux rfrentiels, linformation en provenance de
lintrieur comme de lextrieur de lorganisation doit tre fiable et la conformit sentend aussi de la conformit de lorganisation avec ses politiques
internes. Dans la mme veine, la dfinition du CDR AMF indique que le
contrle interne vise galement assurer lapplication des instructions et des
orientations de la direction gnrale et le bon fonctionnement des processus
internes de la socit.
Groupe Eyrolles
Nous nous attarderons sur la dfinition et les objectifs du contrle interne,

son champ et ses limites, son efficacit et son primtre.
Notons enfin que le Turnbull et le CDR AMF sont les seuls aborder la
notion de risque dans leur dfinition du contrle interne.
Dfinition
Selon le COSO : Le contrle interne est un processus mis en uvre par le

conseil dadministration, les dirigeants et le personnel dune organisation,
destin fournir une assurance raisonnable quant la ralisation des objectifs
suivants :
ralisation et optimisation des oprations ;
fiabilit des informations financires ;
conformit aux lois et aux rglementations en vigueur.
Pour le COCO : Le contrle interne est constitu des lments dune
organisation (y compris les ressources, les systmes, les processus, la culture,
la structure, et les tches) qui collectivement aident les gens raliser les
objectifs de lorganisation qui font partie des trois catgories suivantes :
efficacit et efficience du fonctionnement ;
fiabilit de linformation interne et externe ;
conformit aux lois, aux rglements et aux politiques internes.
Groupe Eyrolles
La dfinition du Turnbull, elle, est la suivante : Un systme de contrle

interne englobe les politiques, processus, tches, comportements et autres
aspects dune entreprise qui, combins :
facilitent lefficacit et lefficience des oprations en aidant la socit
rpondre de manire approprie aux risques commerciaux, oprationnels, financiers, de conformit et tout autre risque, afin datteindre ses
objectifs ; ceci inclut la protection des actifs contre un usage inappropri,
la perte et la fraude, et lassurance que le passif est identifi et gr ;
aident assurer la qualit du reporting externe et interne ce qui ncessite
de conserver les enregistrements appropris et de maintenir des processus
qui gnrent un flux dinformations pertinentes et fiables en provenance
de lintrieur et de lextrieur de lorganisation ;
aident assurer la conformit aux lois et rglements ainsi quaux politiques internes relatives la conduite des affaires.
Enfin, selon le CDR AMF, le contrle interne est un dispositif de la
socit, dfini et mis en uvre sous sa responsabilit. Il comprend un ensemble de moyens, de comportements, de procdures et dactions adapts aux
caractristiques propres de chaque socit qui :
Le dispositif vise plus particulirement assurer :

la conformit aux lois et aux rglements ;
lapplication des instructions et des orientations fixes par la direction
gnrale ou le directoire ;
le bon fonctionnement des processus internes de la socit, notamment
ceux concourant la sauvegarde de ses actifs ;
la fiabilit des informations financires.
Le champ du contrle interne

Ce que le contrle interne ne recouvre pas est prcis par les CDR AMF,
COSO et COCO. Ce dernier donne au contrle interne un champ plus
tendu que ne le prvoit le COSO. Pour ce dernier, ne font pas partie du
contrle interne :
llaboration des objectifs de lorganisation, de sa mission et du chiffrage
des performances ;
les plans stratgiques ;
la dtermination des objectifs de chaque activit ;
la gestion des risques ;
les actions correctives.
Pour le COCO, le champ de contrle interne inclut certains aspects particuliers de la gestion que le COSO exclut. Ainsi, si le COCO considre que le
contrle interne ne vise pas prescrire les objectifs tablir et que les dcisions relatives au fait dagir et la faon dagir sont des aspects de la gestion
qui ne font pas partie du contrle, il estime que le contrle interne peut
contribuer assurer que les personnes charges du suivi et de la prise de dcision disposent dinformations appropries et fiables et permet de suivre les
rsultats des actions ou des dcisions de ne pas agir et de faire un rapport
leur gard.
Enfin pour le CDR AMF, le contrle interne ne recouvre pas toutes les initiatives prises par les organes dirigeants ou le management, par exemple la
Groupe Eyrolles
contribue la matrise de ses activits, lefficacit de ses oprations et

lutilisation efficiente de ses ressources ;
doit lui permettre de prendre en compte de manire approprie les risques significatifs, quils soient oprationnels, financiers ou de
conformit.
dfinition de la stratgie de la socit, la dtermination des objectifs, les dcisions de gestion, le traitement des risques ou le suivi des performances.
Limites du contrle interne

Les quatre rfrentiels saccordent dire quil existe des limites inhrentes
tout systme ou dispositif de contrle interne et quil ne peut fournir quune
assurance raisonnable que lorganisation pourra atteindre ses objectifs.
Alors que le COSO, le COCO et le CDR AMF ajoutent la notion

dquilibre cots-avantages , cest--dire lobligation pour les organisations de comparer les cots et les avantages relatifs des contrles avant de les
mettre en uvre, le Turnbull cite loccurrence de circonstances imprvisibles
comme tant une autre limite inhrente au contrle interne.
Selon le COCO, on peut attendre du contrle interne quil procure une
assurance raisonnable, mais non une assurance absolue. cela, deux raisons.
Tout dabord, il existe des limites inhrentes au contrle (erreurs de jugement survenant dans la prise de dcision, dfaillances attribuables des
erreurs humaines, collusion permettant de faire chec aux activits de contrle, contrle outrepass par la direction). En outre, il est ncessaire de tenir
compte de lquilibre cots/avantages dans la conception du contrle au sein
des organisations.
Le contrle ne peut empcher la prise de dcisions stratgiques et oprationnelles qui, a posteriori, savreront mauvaises.
Groupe Eyrolles
Selon le Turnbull, un systme de contrle interne rduit, mais ne peut liminer la possibilit dun mauvais jugement lors de prises de dcision, lerreur
humaine, les contrles contourns de manire dlibre par les employs, les
contrles outrepasss par le management ni loccurrence de circonstances
imprvisibles. Un systme de contrle interne procure une assurance raisonnable, mais non absolue que lentreprise pourra atteindre ses objectifs.
Quant au COSO, il stipule que tout systme de contrle interne ne peut
fournir au plus quune assurance raisonnable au management et au conseil
dadministration quant la ralisation des objectifs de lentreprise. La probabilit datteindre ceux-ci est soumise aux limites inhrentes tout systme de
contrle interne, quil sagisse, par exemple, dun jugement erron, de dysfonctionnements dus des dfaillances humaines ou de simples erreurs. En
outre, la collusion entre deux personnes ou plus permet de contourner les
contrles et il est toujours possible aux dirigeants d outrepasser le systme
Enfin, selon le CDR AMF, le dispositif de contrle interne, aussi bien

conu et appliqu soit-il, ne peut fournir une garantie absolue quant la ralisation des objectifs de la socit. La probabilit datteindre ces objectifs ne
relve pas de la seule volont de la socit. Il existe en effet des limites tout
systme de contrle interne. Ces limites rsultent de nombreux facteurs,
notamment des incertitudes du monde extrieur, de lexercice de la facult
de jugement ou de dysfonctionnements pouvant survenir en raison dune
dfaillance humaine ou dune simple erreur. En outre, lors de la mise en
place des contrles, il est ncessaire de tenir compte du rapport cot/bnfice et de ne pas dvelopper des systmes de contrle interne inutilement
coteux, quitte accepter un certain niveau de risque.
Lefficacit du contrle interne

Cette notion absente du Turnbull (qui se contente de dfinir les lments
dun systme sain de contrle interne) est voque par le COSO et le
COCO. Le CDR AMF prfre insister sur la pertinence du systme de
contrle interne. Selon celui-ci, des rgles de conduite et dintgrit portes
par les organes de gouvernance et lexemplarit sont des pralables la mise
en uvre dun bon dispositif de contrle interne et conditionne son efficacit et sa crdibilit.
Selon le COSO, le systme de contrle peut-tre jug efficace lorsque le
conseil dadministration et le management estiment quils disposent dune
assurance raisonnable leur permettant de considrer :
quils savent clairement dans quelle mesure les objectifs oprationnels de
lentit seront atteints ;
que les tats financiers sont tablis sur une base fiable ;
que lentreprise respecte les lois et les rglements en vigueur.
Le COSO prcise quapprcier lefficacit dun systme de contrle interne
est un jugement subjectif fond sur la prsence des cinq lments et leur
fonctionnement efficace.
Selon le COCO, le contrle dsigne ce qui permet une organisation dtre
fiable dans la ralisation de ses objectifs. Le contrle est efficace lorsquil procure une assurance raisonnable que lorganisation ralisera ses objectifs,
autrement dit lorsque les risques rsiduels (non contrls) de non-ralisation
Groupe Eyrolles
de contrle interne. Une autre limite rside en outre dans la ncessit de

tenir compte du cot des contrles et de le comparer aux avantages attendus.
des objectifs de lorganisation sont jugs acceptables. Le contrle comprend

donc lidentification et la rduction des risques. Ceux-ci ne se limitent pas
aux risques connus lis la ralisation dun objectif prcis. Ils comprennent
galement deux risques plus fondamentaux qui menacent la viabilit et le
succs de lorganisation :
que celle-ci ne conserve pas sa capacit didentifier et de mettre profit
les opportunits ;
quelle ne conserve pas sa souplesse. La souplesse sentend de la capacit
de lorganisation de ragir et de sadapter lorsque des risques et des
opportunits imprvus se manifestent.
Enfin selon le CDR AMF, les grandes orientations en matire de contrle

interne sont dtermines en fonction des objectifs de la socit. Le contrle
interne est dautant plus pertinent quil est fond sur des rgles de conduite
et dintgrit portes par les organes de gouvernance et communiques
tous les collaborateurs. Il ne saurait en effet se rduire un dispositif purement formel en marge duquel pourraient survenir des manquements graves
lthique des affaires. Lexemplarit est un principe fondateur, elle constitue
en effet un vecteur essentiel de la diffusion des valeurs au sein de la socit.
Le primtre du contrle interne

Seul le CDR AMF dfinit le primtre du contrle interne. Sachant que ce
rfrentiel sadresse essentiellement de grandes entreprises, il rappelle le
principe de base selon lequel chaque socit doit mettre en place un dispositif de contrle interne adapt sa situation et prcise le rle de la socit
mre lgard de ses filiales et de ses participations significatives.
Selon le CDR AMF, il appartient chaque socit de mettre en place un dispositif de contrle interne adapt sa situation.
Groupe Eyrolles
En pratique
Dans le cadre dun groupe, la socit mre veille lexistence de dispositifs de contrle interne au sein de ses filiales. Ces dispositifs devraient tre
adapts leurs caractristiques propres et aux relations entre la socit
mre et les filiales. Pour les participations significatives, dans lesquelles la
socit mre exerce une influence notable, il appartient cette dernire
dapprcier la possibilit de prendre connaissance et dexaminer les mesures prises par la participation concerne en matire de contrle interne.
Les composantes du contrle interne

Aprs avoir sommairement prsent les composantes du contrle interne au
sein des quatre rfrentiels, le comparatif seffectuera partir de la typologie
tablie par le COSO.
Selon le COSO, le contrle interne est compos de cinq lments

interdpendants :
lenvironnement de contrle ;
lvaluation des risques ;
les activits de contrle ;
linformation et la communication ;
le pilotage.
Le COSO considre que ces lments doivent se retrouver dans toute entreprise mme sils doivent tre instaurs diffremment au sein des PME.
Selon le COCO, le contrle interne est compos de quatre grands critres
inter relis, orients vers laction : ceux relatifs au but contribuent affirmer
lorientation de lorganisation ; ceux concernant lengagement permettent
daffirmer lidentit et les valeurs de lorganisation ; les critres relatifs la
capacit aident affirmer la comptence de lorganisation ; enfin ceux affrents au suivi et lapprentissage contribuent affirmer lvolution de lorganisation.
Le Turnbull, lui, indique uniquement que le systme de contrle interne
comporte :
les activits de contrle ;
les processus dinformation et de communication ;
les processus pour piloter et suivre lefficacit du contrle interne.
Ces lments ne font pas lobjet de parties dtailles. Le Turnbull Report
propose uniquement en annexe une liste de questions minimales que le
conseil et le management doivent se poser afin dvaluer le systme de
contrle interne.
Groupe Eyrolles
Remarquez que lon trouve le mme nombre de composantes (cinq) et la

mme approche pragmatique au sein du COSO et du CDR AMF : les composantes doivent tre adaptes la taille et au secteur dactivit des socits.
Toutefois, la dnomination des composantes diffre le plus souvent et leur
contenu dapparence trs proche prsente parfois quelques nuances quil faut
savoir apprcier. Le COCO propose un modle reposant sur quatre critres
inter relis. Le Turnbull voque seulement trois lments.
Selon le CDR AMF, le dispositif de contrle interne comprend cinq composantes troitement lies. Bien quelles soient applicables toutes les socits, leur mise en uvre peut tre ralise diffremment selon la taille et le
secteur dactivit des socits. Ces cinq composantes sont une organisation
adapte, la diffusion en interne dinformations pertinentes, un systme visant
recenser et analyser les principaux risques, des activits de contrle, enfin
une surveillance permanente.
La section qui suit concerne essentiellement la comparaison des lments de

contrle interne des rfrentiels COSO, COCO et CDR AMF, partir des
lments du COSO. De ce dernier, le CDR AMF sest inspir des cinq
composantes, mme si lon ne retrouve pas lidentique, dans le document
de place, la terminologie utilise par le rfrentiel amricain.
Du Turnbull, le CDR AMF a retenu lesprit, cest--dire celui dun guide
bas sur des principes gnraux et non sur des rgles contraignantes. Cest la
raison pour laquelle les propos concernant le CDR AMF seront parfois
moins dtaills que ceux relatifs au COSO ou au COCO.
Lune des annexes du COCO permet de regrouper les critres de contrle
en fonction des diffrentes composantes du COSO.
Dans la mesure du possible, les lments dcrits en annexe du Turnbull seront
galement prsents.
Lenvironnement de contrle
Groupe Eyrolles
Selon le COSO, lenvironnement de contrle est un lment trs important

de la culture dune entreprise, puisquil dtermine le niveau de sensibilisation
du personnel au besoin de contrle. Il constitue le fondement de tous les
autres lments du contrle interne, en imposant discipline et organisation.
Les facteurs ayant un impact sur lenvironnement de contrle comprennent
notamment lintgrit, lthique et la comptence du personnel ; la philosophie des dirigeants et le style de management ; la politique de dlgation des
responsabilits, dorganisation et de formation ; enfin, lintrt manifest par
le conseil dadministration et sa capacit indiquer clairement les objectifs.
Intgrit et thique
Le COSO comme le COCO saccordent dire que des valeurs thiques,
dont lintgrit, doivent tre communiques au sein de lorganisation et tre
traduites par un code de conduite. Selon ces deux rfrentiels, la direction
gnrale (ainsi que le conseil pour le COCO) ont une influence majeure
dans ce domaine et doivent donner lexemple. Dans la mesure o le
CDR AMF considre que des rgles de conduite et dintgrit portes par
les organes de gouvernance et lexemplarit sont des pralables la mise en
uvre dun bon dispositif de contrle interne, il ne les a pas traites en tant
que composantes du contrle interne, mais plutt en tant qulments sousjacents, indispensables sa mise en uvre.
Les objectifs dune entreprise et les mthodes utilises pour les atteindre sont
fonds sur des priorits, des jugements de valeur et un style de management.
Ces priorits et jugements de valeur, qui se traduisent par un code de
conduite, refltent lintgrit et lthique des dirigeants. Lefficacit des procdures de contrle interne dpend de lintgrit et de lthique dont font
preuve les personnes qui crent ces contrles, les grent et en assurent le
suivi. Lthique et lintgrit des dirigeants sont le fruit de la culture
dentreprise , qui se matrialise dans des normes dthique et de conduite,
ainsi que dans les mthodes utilises pour communiquer et dvelopper
celles-ci au sein de lentreprise. La direction gnrale joue un rle majeur
dans la dtermination de la culture dentreprise, commencer par le P-DG.
Des principes dthique doivent tre inculqus et des conseils explicites en la
matire doivent galement tre prodigus. Lexemple constitue la meilleure
faon de promouvoir un message de comportement conforme lthique
travers toute la firme. Toutefois, donner lexemple nest pas suffisant. Le
management doit communiquer oralement au personnel les valeurs et les
normes de conduite retenues par lorganisation. Il est particulirement
important que des sanctions soient prvues en cas de violation de ces codes
de conduite et que des mcanismes de communication des infractions soient
mis en place.
Le COCO
Des valeurs thiques, dont lintgrit, devraient tre dfinies, communiques
et mises en pratique dans lensemble de lorganisation. Ces valeurs font partie
de la culture de lorganisation et constituent un code de conduite non crit
partir duquel les comportements sont valus. Un code de conduite officiel
crit est un moyen de communiquer de faon uniforme les normes dthique. Les valeurs et les priorits de la direction gnrale et du conseil ont une
influence majeure sur les objectifs et les systmes de lorganisation.
Groupe Eyrolles
Le COSO
Le Turnbull
Pour celui-ci, la direction gnrale doit dmontrer au travers de ses actions
tout comme de ses politiques son engagement en faveur de lintgrit.
Politique en matire de ressources humaines
Selon le COSO, le COCO et le CDR AMF, les politiques et pratiques en

matire de RH doivent tre dtermines en fonction des objectifs de lorganisation. Les deux premiers considrent que doivent tre prises en compte
notamment les valeurs thiques et mettent en avant la notion de rcompense.
Le COSO quant lui prcise que le systme de contrle interne doit aussi
comporter des mesures disciplinaires pour tout manquement aux rgles de
comportement tablies.
Le COCO et le Turnbull, eux, introduisent la notion de climat de
confiance qui, en facilitant la circulation des informations, permet lorganisation datteindre ses objectifs.
Le COSO
La politique de gestion des ressources humaines traduit les exigences de
lentreprise en matire dintgrit, dthique et de comptence. Cette politique englobe le recrutement, la gestion des carrires, la formation, les valuations individuelles, les conseils aux employs, les promotions, la
rmunration et les actions correctives.
Des systmes de rmunration comptitifs, prvoyant lattribution de primes, permettent de motiver et daccrotre les performances. Enfin, les mesures disciplinaires permettent de faire comprendre que tout manquement aux
rgles de comportement tablies dans lentit ne sera pas tolr. Les tudes et
la formation doivent prparer le personnel de lentreprise sadapter aux
volutions de lenvironnement.
Groupe Eyrolles
Le COCO
Les politiques et pratiques en matire de RH devraient tre conformes aux
valeurs thiques de lorganisation et cohrentes avec ses objectifs. Le contrle
est effectu par lintermdiaire de personnes dont le comportement et la
motivation sont influencs par les politiques et pratiques en termes de RH et
par les systmes de rcompenses. Le comportement des gens est influenc
par lide quils ont du mode de gestion et de rcompense dont ils font
lobjet. Un climat de confiance mutuelle devait tre favoris pour faciliter la
circulation de linformation entre les personnes et aider celles-ci contribuer

efficacement latteinte des objectifs de lorganisation.
Le Turnbull
La socit doit disposer dune culture dentreprise, dun code de conduite,
dune politique de ressources humaines et dun systme de rcompenses des
performances qui favorisent la ralisation des objectifs. Elle doit aussi favoriser le dveloppement dun climat de confiance au sein de la socit.
Une politique de gestion des ressources humaines doit permettre de recruter

des personnes possdant les connaissances et les comptences ncessaires
lexercice de leur responsabilit et latteinte des objectifs actuels et futurs de
la socit.
Dlgation de pouvoirs et domaines de responsabilits

Le COSO, le COCO et le CDR AMF conviennent que les responsabilits et
les pouvoirs accords aux membres de lorganisation doivent ltre en fonction des objectifs de cette dernire. Le COCO et le CDR AMF prcisent
que ces responsabilits et pouvoirs doivent tre communiqus au moyen de
descriptions de tches ou de fonctions.
Le COSO
Cet aspect de lenvironnement de contrle concerne les dlgations de pouvoirs et de responsabilits au sein des activits oprationnelles, les liens hirarchiques permettant la remonte des informations et les rgles en matire
dapprobation. Il concerne galement la manire dont les individus et les quipes sont encourags prendre des initiatives pour aborder et rsoudre les problmes, ainsi que les limites imposes lautorit exerce par des individus et
des quipes. La principale difficult rside dans le fait que les responsabilits ne
doivent tre dlgues que dans la limite des objectifs raliser. Pour cela, il est
ncessaire de sassurer que les risques sont pris en fonction de la capacit des
responsables les identifier et les minimiser, ainsi qu valuer et peser les
pertes et les gains potentiels rsultant de la prise de dcision. Il est galement
trs difficile dassurer la comprhension des objectifs de lentit par lensemble
du personnel. Il est essentiel que chacun soit conscient du lien existant entre ses
actions et celles des autres, et de leur contribution la ralisation des objectifs.
Groupe Eyrolles
Le CDR AMF
Le COCO
Les pouvoirs, les responsabilits et lobligation den rendre compte devraient
tre clairement dfinis et conformes aux objectifs de lorganisation afin que
les dcisions et les actions soient prises par les bonnes personnes. Ces pouvoirs
et responsabilits doivent tre communiqus au moyen de descriptions de
tches ou de fonction. Des politiques visant faciliter latteinte des objectifs
de lorganisation et la gestion des risques auxquels elle fait face devraient tre
tablies, communiques et mises en pratique, afin que les gens comprennent
ce qui est attendu deux et connaissent ltendue de leur libert daction.
Le Turnbull
Les pouvoirs et les responsabilits doivent tre clairement dfinis de telle

sorte que les dcisions soient prises et les actions effectues par les personnes
appropries. La socit doit communiquer ses salaris ce qui est attendu
deux et leur espace de libert daction.
Le CDR AMF
La mise en uvre dun dispositif de contrle interne doit reposer sur des principes fondamentaux, mais aussi sur deux autres lments. Il faut dabord une
organisation approprie qui fournit le cadre dans lequel les activits ncessaires la ralisation des objectifs sont planifies, excutes, suivies et contrles.
Par ailleurs, des responsabilits et pouvoirs clairement dfinis doivent tre
accords aux personnes appropries en fonction des objectifs de la socit. Ils
peuvent tre formaliss et communiqus au moyen de descriptions de tches
ou de fonctions, dorganigrammes hirarchiques et fonctionnels, de dlgations de pouvoirs et devraient respecter le principe de sparation des tches.
Comptences
Le COSO, le Turnbull et le CDR AMF conviennent que les membres de
lorganisation doivent possder les connaissances et les comptences ncessaires laccomplissement de leurs tches.
Groupe Eyrolles
Le COSO
La comptence doit reflter la connaissance et les aptitudes ncessaires
laccomplissement des tches requises chaque poste. Il appartient gnralement au management de dcider du niveau de qualit requis pour ces tches,
en fonction des objectifs de la socit et des plans stratgiques mis en uvre.
Le management doit prciser les niveaux de comptence requis pour chaque

mission et les traduire en termes de connaissances et daptitudes.
Le Turnbull
Les membres de lorganisation doivent possder les connaissances, les comptences et les outils ncessaires laccomplissement des objectifs de lorganisation et au management des risques.
Une organisation comportant une dfinition claire des responsabilits, disposant des ressources et des comptences adquates et sappuyant sur des
procdures, des systmes dinformation, des outils et des pratiques appropris
doit tre mise en uvre.
Conseil dadministration et comit daudit

Selon le COSO, lenvironnement de contrle et la culture de lorganisation
sont largement influencs par le conseil dadministration et le comit daudit.
Lexprience et lenvergure de leurs membres, leur indpendance vis--vis
des dirigeants, leur niveau dengagement dans la conduite de lentreprise, leur
rigueur dans le contrle des oprations ainsi que la pertinence de leurs actions
sont des facteurs importants de lenvironnement de contrle. Linteraction
entre le conseil dadministration ou le comit daudit et les auditeurs internes
et externes est un autre facteur ayant une incidence sur lenvironnement de
contrle. En raison de son importance, le conseil dadministration ou un
organe similaire constitue un facteur essentiel de lefficacit du contrle
interne. Il est galement indispensable que le conseil dadministration soit
compos, en partie, dadministrateurs indpendants, afin quils puissent examiner soigneusement les activits de la direction, prsenter un autre point de
vue et avoir le courage de ragir face des agissements incorrects.
Philosophie et style de management

Daprs le COSO, la philosophie et le style de management ont une incidence
sur la conduite des affaires de lentreprise et sur le niveau de risques accept.
Structure de lentreprise
Selon le COSO, quelle que soit la structure retenue, les activits dune entreprise doivent tre organises de faon faciliter la mise en uvre des stratgies destines assurer la ralisation dobjectifs prcis.
Groupe Eyrolles
Le CDR AMF
Les risques
Si pour le COSO et le CDR AMF, lvaluation des risques est lune des cinq
composantes du contrle interne, le Turnbull en fait une notion centrale
puisque selon ce rfrentiel, le conseil doit adopter une approche base sur
les risques pour tablir un systme de contrle interne solide. Et selon le
COCO, le contrle est efficace seulement si les risques rsiduels de nonralisation des objectifs de lorganisation sont jugs acceptables. Le contrle
comprend donc lidentification et la rduction des risques.
Les objectifs
Les quatre rfrentiels saccordent dire que la fixation des objectifs constitue une condition pralable lvaluation des risques. Pour lensemble de ces
rfrentiels, ces objectifs doivent tre clairs et comprhensibles par les membres de lorganisation. Une communication de ces objectifs est par consquent ncessaire. Les quatre rfrentiels saccordent galement sur le fait que
ces objectifs doivent tre mesurables. Rappelons que pour le COCO, le
COSO et le CDR AMF, la dtermination des objectifs est hors du champ de
contrle interne.
Le COSO
Groupe Eyrolles
Le management doit se fixer des objectifs avant didentifier les risques susceptibles davoir un impact sur leur ralisation et prendre les mesures ncessaires. Ltablissement des objectifs reprsente donc une tape cl de la
conduite des affaires. Bien que ntant pas un lment du contrle interne,
cette phase constitue une condition pralable permettant dassurer le
contrle interne. En se fixant des objectifs gnraux, une entreprise est en
mesure didentifier des facteurs cls de russite, cest--dire des vnements
qui doivent se produire ou des conditions qui doivent exister pour que les
objectifs puissent tre atteints.
Ces derniers doivent tre complmentaires et lis. Les objectifs gnraux
doivent non seulement tre en harmonie avec les capacits et les perspectives
de lentreprise, mais galement tre en accord avec les objectifs de ses diffrentes units et fonctions. Ainsi, lorsquune entreprise met en place une nouvelle stratgie, il est ncessaire de sassurer de la cohrence des objectifs fixs
au niveau des diffrentes units et des fonctions avec ceux de lentit. Les
objectifs relatifs aux activits doivent tre clairs, i.e. tre aisment comprhensibles par les individus responsables de leur ralisation. Ils doivent galement
tre mesurables. Fixer des objectifs constitue une condition pralable un

contrle interne efficace. Les objectifs fournissent les buts mesurables viss
par lentreprise dans lexercice de ses activits.
Pour ce rfrentiel, des objectifs doivent tre tablis et communiqus. Ceuxci fournissent des orientations. Ils peuvent tre lis lorganisation entire ou
des parties de celle-ci et tre plus ou moins dtaills. La mission et la vision
constituent des objectifs globaux de lorganisation. La premire est sa raison
dexister. La vision, elle, reprsente la situation future laquelle lorganisation aspire. Elle englobe les objectifs stratgiques et les plans pour les raliser.
Une mission explicite et une vision claire auxquelles les gens adhrent dans
lensemble de lorganisation permettent celle-ci de tenir le cap et assurent
ainsi la cohsion au cours des changements. Le choix des objectifs, comme
dautres dcisions, constitue un aspect de la gestion qui ne fait pas partie du
contrle. En revanche, le processus dtablissement des objectifs est couvert
par la dfinition du contrle. Il faut galement que les objectifs soient communiqus clairement afin que les gens comprennent le contexte et lorientation dans lesquels se situent leurs dcisions, leurs actions et leurs activits de
coordination. Les objectifs et les plans connexes devraient comprendre des
cibles et des indicateurs de performance mesurables.
Le Turnbull
La notion dobjectif est essentiellement aborde dans lannexe du document.
Il y est donn un ensemble de questions pour permettre au conseil dvaluer
la qualit des processus de gestion des risques. Lorganisation doit
sassurer quelle a des objectifs nets, clairement communiqus aux employs,
afin que ces derniers comprennent et adhrent la politique de lorganisation en matire dvaluation des risques et de contrle. Le conseil doit sassurer que les programmes comportent aussi des cibles et des indicateurs afin de
mesurer la performance de lentreprise.
Lidentification des risques

Les quatre rfrentiels estiment que le processus didentification des risques
est continu et rptitif. Le COSO et le COCO insistent sur le fait que les
risques, aussi bien internes quexternes lorganisation, doivent tre identifis. Si pour le COSO, cette identification doit porter sur lensemble des risques, le COCO prcise que dans la mesure o il est rarement avantageux du
Groupe Eyrolles
Le COCO
point de vue des cots de relever lensemble des risques, leur identification
doit tre suffisamment globale.
Le COCO estime que les notions de risques et dopportunits sont troitement lies.
Pour le COSO, une distinction doit tre faite entre les procdures didentification des risques et danalyse de risques, pour limiter les risques importants.
Le COCO et le Turnbull prcisent que les risques jugs acceptables par le
Conseil et le management doivent tre communiqus lensemble des
membres de lorganisation.
Mais, alors que le COSO parle de lvaluation du risque de tous les risques , le CDR AMF, lui, voque un systme qui vise recenser et analyser les principaux risques. Encore faut-il quils soient identifiables Il sagit
ici plus que dune simple nuance.
Groupe Eyrolles
Le COSO
Ce processus didentification et danalyse du risque est un lment cl dun
systme de contrle interne efficace. Le management doit, tous les
niveaux, identifier minutieusement les risques et prendre les mesures adquates afin de les limiter. Les performances dune entreprise peuvent tre
menaces par des facteurs internes ou externes. Ceux-ci peuvent, leur
tour, avoir un impact la fois sur les objectifs formuls et sur les objectifs
implicites. Il est essentiel que tous les risques soient identifis. Une technique
consiste identifier les activits comportant le plus de risques et classer ces
derniers par ordre de priorit.
Lessentiel est que les dirigeants tiennent compte attentivement des facteurs
qui peuvent contribuer lapparition dun risque, voire son aggravation.
Les facteurs prendre en compte sont notamment :
la non-ralisation des objectifs par le pass ;
la comptence du personnel ;
les changements au niveau de la concurrence, de la rglementation, du
personnel ou autres, ayant un impact sur lentreprise ;
la dispersion gographique des activits, internationale principalement ;
limportance que revt une activit pour lentreprise ;
la complexit dune activit.
Les risques doivent tre identifis non seulement lchelle de lentreprise,

mais galement de chaque activit. Parvenir valuer les risques par activit
contribue galement au maintien dun niveau acceptable de risques.
Pour limiter les risques, il vaut mieux que cette procdure didentification
soit distincte de celle consistant valuer leur probabilit de survenance.
Le contrle est efficace lorsque les risques rsiduels (non contrls) de nonralisation des objectifs de lorganisation sont jugs acceptables. Le contrle
comprend donc lidentification et la rduction des risques. Ceux-ci ne se
limitent pas aux risques connus lis la ralisation dun objectif prcis ; ils
comprennent galement deux risques plus fondamentaux qui menacent la
viabilit et le succs de lorganisation :
celui que lorganisation ne conserve pas sa capacit didentifier et de
mettre profit les opportunits ;
celui que lorganisation ne conserve pas sa souplesse, i.e. la capacit de
lorganisation ragir et sadapter lorsque des risques et des opportunits imprvus se manifestent.
Les risques internes et externes importants auxquels lorganisation fait face
dans la poursuite de ses objectifs devraient tre identifis et valus. Toute
action ou toute inaction comporte un risque de non-ralisation des objectifs.
Les risques et les opportunits sont troitement lis. Il est important que
lorganisation identifie de faon continue les risques internes et externes
importants afin quelle puisse ragir aux changements (ou les susciter) de
faon approprie et sans dlai.
Bien quil soit rarement avantageux du point de vue des cots de tenter de
relever tous les risques, leur identification doit tre suffisamment globale
pour fournir lassurance raisonnable que les risques pouvant avoir une
incidence importante sur les objectifs sont identifis. Les gens ont besoin
de savoir quels risques sont acceptables pour la direction gnrale et le
conseil dadministration. Lidentification explicite des risques rsiduels
accepts et la communication de cet lment dans lensemble de lorganisation sont essentielles lefficacit du contrle. Lidentification et lvaluation des risques doivent tre menes pour chaque objectif important de
lorganisation.
Le risque provient des environnements dans lesquels lorganisation uvre,
mais aussi des choix faits en matire de fonctionnement.
Groupe Eyrolles
Le COCO
Le Turnbull
Les risques significatifs doivent tre identifis et valus rgulirement. Le
management et les autres membres du personnel doivent connatre les risques jugs acceptables par le conseil.
Le CDR AMF
La socit doit recenser les principaux risques identifiables, internes ou

externes, pouvant avoir un impact sur la probabilit datteindre les objectifs
quelle sest fixs. Cette identification, qui sinscrit dans le cadre dun processus continu, devrait couvrir les risques pouvant avoir une incidence importante sur sa situation.
Lanalyse des risques

Les quatre rfrentiels stipulent que les risques identifis doivent tre analyss
et valus en fonction essentiellement de deux critres : leur probabilit
doccurrence et leur impact.
Le COSO
Il est ncessaire de procder une analyse des risques une fois que ceux-ci
ont t identifis, la fois au niveau de lentreprise et de chaque activit. Le
processus plus ou moins formel se dcompose gnralement de la faon
suivante :
valuation de limportance du risque ;
valuation de la probabilit (ou frquence) de survenance du risque ;
prise en compte de la faon dont le risque doit tre gr, cest--dire valuation des mesures quil convient de prendre.
Lvaluation des risques reste difficile : on peut les dcrire au mieux comme
tant forts , moyens ou faibles .
Le COCO
Groupe Eyrolles
Pour valuer les risques, il convient destimer les probabilits que survienne
un fait ainsi que limportance des consquences de ce dernier afin que les
politiques et les processus de contrle appropris puissent tre mis au point.
Le Turnbull
Pour dterminer des politiques de contrle interne, le conseil doit prendre
en considration :
la nature et ltendue des risques auxquels lorganisation est confronte ;

ltendue et les catgories de risques que lorganisation peut supporter ;
la probabilit de survenance des risques, la capacit de lorganisation
rduire limpact des risques qui se matrialisent ;
le rapport cots/bnfices des contrles dvelopps pour grer ces risques.
Le CDR AMF
Les procdures de gestion des risques

Les quatre rfrentiels soulignent quune fois identifis et analyss, les risques
doivent tre grs.
Pour le COSO et le Turnbull, le rapport cots/bnfices des procdures qui
doivent tre dveloppes pour grer ces risques doit tre tudi.
Si pour le Turnbull, les politiques de gestion des risques sont dcides par le
conseil, pour le COSO et le CDR AMF, ces procdures sont dtermines
par le management, ce dernier voquant toutefois lventuelle intervention
dune direction des risques.
Le COSO
Une fois limportance et la probabilit de survenance du risque values, le
management doit tudier la faon dont il doit tre gr. Pour cela, il doit
faire appel son jugement, en se basant sur certaines hypothses concernant
les risques et sur une analyse raisonnable des cots quil serait ncessaire
dengager pour les rduire.
Notons quil existe une diffrence de nature entre lvaluation des risques, qui
fait partie intgrante du contrle interne, et les plans, programmes et mesures
en dcoulant, jugs ncessaires par le management dans le cadre de la gestion
des risques. Prendre des mesures constitue un maillon essentiel dans un processus de gestion densemble, mais pas un lment du systme de contrle
interne. Paralllement aux mesures prises pour grer le risque, des procdures
permettent aux dirigeants den suivre la mise en uvre et lefficacit. Avant
dinstaurer des procdures supplmentaires, le management doit dterminer si
celles dj existantes sont adquates au regard des risques identifis.
Groupe Eyrolles
Pour analyser les risques, il convient de tenir compte de leur possibilit

doccurrence et de leur gravit potentielle, ainsi que de lenvironnement et
des mesures de matrise existantes.
Le COCO
Pour valuer les risques, il convient destimer les probabilits que survienne
un fait ainsi que limportance de ses consquences afin que les politiques et
processus appropris puissent tre mis au point pour les contrler.
Le Turnbull
Le conseil doit sassurer que le systme de contrle interne est efficace pour
grer les risques. Pour cela, il doit tablir des procdures qui doivent tre
mises en uvre par le management.
Le CDR AMF
Les diffrents lments danalyse de risques ne sont pas figs, mais au contraire
pris en compte dans un processus de gestion des risques. La direction gnrale
ou le directoire, avec lappui dune direction des risques si elle existe
devraient dfinir des procdures de gestion des risques.
La gestion du changement
Les quatre rfrentiels indiquent que lorganisation doit tre attentive aux
changements dans son environnement interne et externe et prendre les
mesures qui simposent. Pour le COSO, le COCO et le Turnbull, une procdure spcifique doit tre mise en place cet effet.
Le COSO
Les changements intervenus dans lconomie, le secteur dactivit, le contexte
rglementaire et les activits de lentreprise font quun systme de contrle
interne qui savre efficace dans tel contexte ne le sera pas ncessairement
dans tel autre. Une procdure visant identifier les changements dans lenvironnement et prendre les mesures qui simposent constitue le fondement de
lvaluation des risques. Il est essentiel que chaque entreprise dispose dune
procdure, formelle ou non, permettant didentifier les vnements pouvant
avoir un impact significatif sur sa capacit atteindre les objectifs fixs.
Groupe Eyrolles
Le COCO
Les changements relatifs tout aspect de lorganisation ont des consquences
sur les contrles. Une surveillance continue des environnements externe et
interne permet lorganisation de dceler les changements rapides et dy
ragir sans dlai. Linformation obtenue au moyen de la surveillance des
environnements peut indiquer quil est ncessaire de rvaluer les objectifs et
dautres aspects dune organisation. Il peut savrer ncessaire dadapter les

objectifs en fonction de lvolution des opportunits.
Le Turnbull
Les objectifs dune entit, son organisation interne ainsi que son environnement, sont en volution permanente et par consquent les risques changent
continuellement. Un solide systme de contrle interne ncessite une valuation rgulire de la nature et de ltendue des risques auxquels lorganisation fait face. Le systme de contrle interne doit tre capable de rpondre
rapidement aux changements de risques.
En raison de lvolution permanente de lenvironnement ainsi que du

contexte rglementaire, les socits doivent mettre en place des mthodes
pour recenser, analyser et grer les risques.
Les activits de contrle

Selon le COSO, les activits de contrle peuvent se dfinir comme lapplication des normes et des procdures qui contribuent garantir la mise en
uvre des orientations manant du management.
Les quatre rfrentiels conviennent que les activits de contrle sont des
normes ou procdures prises pour matriser les risques susceptibles daffecter
la ralisation des objectifs de lorganisation et doivent tre coordonnes.
Si le Turnbull met laccent sur le besoin permanent dadapter ces activits de
contrle, le COCO, quant lui, indique que le rapport cots/bnfices doit
tre considr avant de dvelopper de nouvelles activits de contrle.
Le COSO, le COCO ainsi que le CDR AMF indiquent quune attention
particulire doit tre porte aux activits de contrle ddies aux systmes
dinformation.
Typologie des activits de contrle

Le COSO
Les activits de contrle sont menes tous les niveaux hirarchiques et
fonctionnels de la structure et comprennent des actions aussi varies
quapprouver et autoriser, vrifier et rapprocher, apprcier les performances
oprationnelles, la scurit des actifs ou la sparation des fonctions. Trois
catgories doprations de contrle se rattachant aux objectifs gnraux de
Groupe Eyrolles
Le CDR AMF
lentreprise peuvent tre distingues : le domaine oprationnel, linformation financire et le respect des contraintes lgales et rglementaires.
Les contrles peuvent sappliquer spcifiquement un domaine, ou en
recouper plusieurs. Il existe de nombreux types dactivits de contrle, quil
sagisse de contrles orients vers la prvention ou vers la dtection, de
contrles manuels ou informatiques, ou encore de contrles hirarchiques :
analyses effectues par le management, gestion des activits ou des fonctions,
traitement des donnes, contrles physiques, indicateurs de performance,
sparation des tches.
Le COCO
Les activits de contrle devraient tre conues de faon faire partie intgrante de lorganisation, compte tenu des objectifs de celle-ci, des risques
susceptibles de nuire latteinte de ces objectifs et de linterrelation entre les
lments de contrle.
Les activits de contrle constituent des procdures standard tablies pour
fournir lassurance que les processus fonctionnent comme prvu et quils
rpondent aux exigences des politiques de lorganisation. Chaque membre
de lorganisation est susceptible davoir une responsabilit lgard des activits de contrle. La dcision den ajouter devrait tenir compte des cots, des
avantages et des risques rsiduels acceptables.
En pratique
Voici quelques exemples dactivits de contrle : lobservation, la comparaison, lapprobation, la communication des rapports, la coordination,
lexamen, la vrification, la sparation des fonctions, le suivi, etc.
Le CDR AMF
Groupe Eyrolles
Les activits de contrle doivent tre proportionnelles aux enjeux propres

chaque processus et conues pour sassurer que les mesures ncessaires sont
prises en vue de matriser les risques susceptibles daffecter la ralisation des
objectifs.
Les activits de contrle sont prsentes partout dans lorganisation, tout
niveau et dans toute fonction, quil sagisse de contrles orients vers la prvention ou la dtection, de contrles manuels ou informatiques ou encore
hirarchiques.
Intgration des activits de contrle lvaluation des risques

Le COSO
Paralllement lvaluation des risques, le management doit dterminer et
mettre en uvre le plan daction destin les matriser. Une fois dtermines, ces actions devront galement servir dfinir les oprations de contrle
appliques pour garantir leur excution correcte et en temps voulu.
Les activits de contrle devraient tre conues de faon faire partie intgrante de lorganisation, compte tenu des objectifs de celle-ci, des risques
susceptibles de nuire latteinte de ces objectifs et de linterrelation entre les
lments de contrle.
Le Turnbull
Les procdures et contrles doivent tre rgulirement adapts et prendre en
compte les risques mergents ou changeants ou les dfaillances oprationnelles.
Contrle des systmes dinformation

Le COSO
Les systmes dinformation, qui jouent un rle croissant dans la gestion
des entreprises, doivent imprativement tre contrls. Ces oprations
peuvent tre rparties en deux groupes : les contrles globaux et les
contrles applicatifs. Les premiers portent habituellement sur les oprations du centre de traitement, lacquisition et la maintenance des logiciels
dexploitation, les contrles daccs, le dveloppement et la maintenance
des applications. Les contrles applicatifs, eux, comprennent des procdures programmes lintrieur mme des logiciels dapplication ainsi que
des procdures manuelles associes, assurant le contrle du traitement des
diffrentes transactions. Ces contrles sappliquent lensemble des systmes, quil sagisse des ordinateurs centraux, des mini-ordinateurs ou de
lenvironnement utilisateur.
Le COCO
Certaines activits de contrle sont propres au systme dinformation, par
exemple le contrle de laccs aux logiciels et au matriel, la sauvegarde et la
reprise, le contrle de la programmation, etc.
Groupe Eyrolles
Le COCO
Le CDR AMF
Une attention toute particulire devrait tre porte aux contrles des processus de construction et de fonctionnement des systmes dinformation.
Les systmes informatiques sur lesquels sappuient les systmes dinformation doivent tre protgs efficacement tant au niveau de leur scurit
physique que logique afin dassurer la conservation des informations stockes. Leur continuit dexploitation doit tre assure au moyen de procdures de recours. Les informations relatives aux analyses, la
programmation et lexcution des traitements, doivent faire lobjet
dune documentation.
Information et communication
Les quatre rfrentiels affirment que linformation doit tre pertinente, fiable
et diffuse au moment opportun aux personnes qui en ont besoin pour leur
permettre dassurer leurs responsabilits, et que les besoins en information
ainsi que les systmes dinformation doivent voluer en fonction des changements de lenvironnement.
Le COSO et le Turnbull prcisent quil est ncessaire de prvoir des systmes
de communication permettant aux individus de faire remonter des problmes ou des questions dlicates.
Information
Groupe Eyrolles
Le COSO
La gestion de lentreprise et la progression vers les objectifs quelle sest fixs
impliquent que linformation irrigue tous les niveaux de la socit. Il devient
particulirement important de sassurer que les informations collectes continuent de correspondre aux besoins de lorganisation. Lorsque cette dernire opre dans un environnement en profonde mutation, les systmes
dinformation doivent voluer pour rpondre aux nouveaux objectifs de la
firme.
Pour tre efficaces toutefois, les systmes dinformation doivent non seulement identifier et recueillir les donnes requises, financires ou non, mais
galement les traiter et les diffuser dans des dlais et sous une forme facilitant
les activits de contrle.
Les systmes dinformation sont souvent directement lis lexploitation. Ils

permettent de recueillir les donnes ncessaires la prise de dcisions orientes
non seulement vers des objectifs de contrle, mais galement de plus en plus
vers la prise dinitiatives stratgiques.
Lacquisition dune nouvelle technologie est un aspect essentiel de la stratgie dune socit et les choix effectus en la matire peuvent tre des facteurs
cls, conditionnant la ralisation des objectifs de croissance.
La qualit des informations se mesure par les rponses aux questions suivantes.
Contenu : toutes les informations ncessaires y sont-elles ?

Dlai : linformation peut-elle tre obtenue en temps voulu ?
Mise jour : est-ce la dernire information en date disponible ?
Exactitude : linformation est-elle correcte ?
Accessibilit : les parties intresses peuvent-elles obtenir cette information aisment ?
Le COCO
Des plans pour guider les efforts de ralisation des objectifs de lorganisation
devraient tre tablis et communiqus. La planification traduit les objectifs et
lvaluation des risques en stratgies, en plans daction et en cibles oprationnelles et financires en fonction desquels on peut mesurer les progrs et en
faire le suivi. Une information pertinente suffisante devrait tre tablie et
communique dans des dlais acceptables pour permettre aux personnes de
sacquitter des responsabilits qui leur sont confies. Pour que le suivi soit
efficace, il faut que les informations recueillies soient pertinentes et fiables,
quelles soient communiques ceux dots du pouvoir dagir ou mises leur
disposition. Enfin, elles doivent tre recueillies suffisamment vite pour permettre une prise de position efficace. Les besoins dinformation et les systmes connexes devraient tre rvalus lorsque les objectifs changent ou que
des dficiences sont releves dans la communication de linformation.
Groupe Eyrolles
Les bonnes questions
Le Turnbull
Des informations pertinentes, fiables et transmises au moment opportun
doivent tre communiques au management et au conseil pour leur permettre de prendre toutes les dcisions qui simposent. Les besoins en information
ainsi que les systmes dinformation doivent tre rvalus ds lors que les
objectifs, les risques voluent ou que des dfaillances sont identifies.
Le CDR AMF
Il insiste sur la diffusion en interne dinformations pertinentes, fiables, dont
la connaissance permet chacun dexercer ses responsabilits.
Communication
Le COCO
Les processus de communication devraient soutenir les valeurs de lorganisation et la ralisation de ses objectifs. Pour que le contrle soit efficace,
lorganisation doit disposer de processus de communication permettant la
communication bidirectionnelle et ouverte dinformations pertinentes et
fiables en temps voulu. Les processus peuvent tre structurs ou informels.
Ils servent diffuser un large ventail dinformations, notamment sur les
valeurs thiques, les politiques, les pouvoirs, les responsabilits et les obligations den rendre compte, les objectifs de lorganisation et les plans pour
les atteindre.
Des processus respectant lanonymat devraient exister pour la communication de problmes ou de questions dlicates.
Le COSO
Groupe Eyrolles
Tous les membres du personnel, et notamment ceux ayant dimportantes responsabilits oprationnelles ou financires, doivent recevoir de la direction
un message exposant avec force limportance du contrle interne. La clart
du message revt une grande importance, ainsi que lefficacit avec laquelle
ce dernier est transmis.
Chaque acteur particulier impliqu dans le contrle interne doit avoir conscience des diffrents aspects du systme, de la faon dont ceux-ci simbriquent,
ainsi que de son rle et de ses responsabilits propres dans cet ensemble.
Au sein de lentit, chacun doit savoir en quoi ses activits sont lies celles
des autres. Il est essentiel de possder cette connaissance pour dtecter une
anomalie, en dterminer les causes, ou prendre des mesures correctives. La

direction doit tenir le conseil dadministration rgulirement inform des
performances, des dveloppements, des risques, des grands projets et, plus
gnralement, de tout vnement significatif.
Le Turnbull
Des moyens de communication permettant aux individus de faire remonter
toute suspicion dinfraction aux lois et aux rglements ainsi que tous les actes
quils estiment illicites ou contraires lthique ou au code de conduite de
lorganisation doivent tre mis en place.
La socit devrait disposer de processus assurant la communication dinformations pertinentes, fiables et diffuses en temps opportun aux acteurs
concerns de la socit afin de leur permettre dexercer leurs responsabilits.
Le pilotage
Les quatre rfrentiels conviennent de la ncessit de mettre en uvre un
processus de pilotage du contrle interne et de raliser des valuations ponctuelles de son efficacit, notamment par le biais dauto-valuations ou encore
de revues ralises par laudit interne.
Mis part des diffrences de vocabulaire (le COSO parle de pilotage et
dvaluation, le CDR AMF de surveillance), peu de diffrences existent
entre les deux approches. Elles mettent en avant la ncessit de contrler le
dispositif du contrle interne pour sassurer de son bon fonctionnement, ces
contrles se faisant de faon permanente et priodique. Le COSO souligne
que les contrles priodiques peuvent se faire par auto-valuation ou grce
aux travaux dauditeurs internes. Le CDR AMF, lui, ne mentionne que les
travaux effectus par laudit interne.
Si le COSO note que le management peut utiliser les travaux effectus par
les auditeurs externes, le CDR AMF y ajoute ceux raliss par les ventuelles instances rglementaires de supervision (commission bancaire par exemple), lorsque cela est prvu par les textes.
Groupe Eyrolles
Le CDR AMF
Processus dvaluation
Le COSO
Lvaluation dun systme de contrle interne constitue un processus en soi.
Ceci implique de comprendre chaque activit de lorganisation et chaque
lment de contrle interne valus. Ce processus suppose lanalyse de la
structure du systme de contrle interne et des rsultats des tests effectus,
mene dans le cadre de critres dfinis, afin de pouvoir dterminer si le systme permet dobtenir une assurance raisonnable de ralisation des objectifs
fixs.
Le CDR AMF
Une surveillance permanente portant sur le dispositif de contrle interne
ainsi quun examen rgulier de son fonctionnement doivent tre mis en
uvre. Comme tout systme, le dispositif de contrle interne doit faire
lobjet dune surveillance permanente. Il sagit de vrifier sa pertinence et
son adquation aux objectifs de la socit.
Oprations courantes de pilotage
Groupe Eyrolles
Le COSO
Ces oprations comprennent les activits courantes de gestion et de supervision, les analyses comparatives, les rapprochements dinformations et dautres
tches courantes.
Le CDR AMF
Mise en uvre par le management sous le pilotage de la direction gnrale
ou du directoire, la surveillance prend notamment en compte lanalyse des
principaux incidents constats, le rsultat des contrles raliss ainsi que des
travaux effectus par laudit interne, lorsquil existe. Cette surveillance
sappuie notamment sur les remarques formules par les commissaires aux
comptes et par les ventuelles instances rglementaires de supervision. La
surveillance peut utilement tre complte par une veille active sur les
meilleures pratiques en matire de contrle interne. Surveillance et veille
conduisent, si ncessaire, la mise en uvre dactions correctives et ladaptation du dispositif de contrle interne.
valuations ponctuelles
Le COSO
Si les oprations courantes de pilotage fournissent habituellement dintressantes informations sur lefficacit des autres lments du contrle interne, il
peut tre utile de porter de temps en temps un regard neuf sur lefficacit du
systme, cela peut galement tre loccasion de dterminer si les oprations
courantes de surveillance continuent dtre efficaces.
Ce processus prend souvent la forme dune auto-valuation : les personnes

responsables dune unit ou dune fonction particulire dterminent ellesmmes lefficacit des contrles sy appliquant.
Les auditeurs internes valuent rgulirement le contrle interne. De mme,
le management peut se servir des travaux effectus par les auditeurs externes
dans le cadre de leur propre valuation de lefficacit du contrle interne.
Les lments et les critres sappliquent au systme de contrle interne dans
son ensemble. Pour une catgorie donne, les cinq critres doivent tre remplis afin de conclure lefficacit du contrle interne.
Le COCO
La direction devrait valuer priodiquement lefficacit du contrle dans
lorganisation et communiquer les rsultats de son valuation aux personnes
obligatoirement concernes. La frquence et le dtail de lexamen varient
selon la nature et limportance de lobjectif et des risques connexes. Lvaluation du contrle dans une organisation peut tre faite de faon informelle
(contacts directs), en ayant recours des vrificateurs, et au moyen dautovaluation. Les rsultats de ces valuations doivent tre communiqus. Les
personnes responsables, individuellement ou en quipe, de la ralisation
dobjectifs, doivent galement ltre de lefficacit du contrle qui contribue
la ralisation de ces objectifs et communiquer les rsultats de ces valuations
aux personnes auxquelles elles doivent rendre des comptes. Quelle que soit la
faon de mener lvaluation, il faut en dvoiler les conclusions pour boucler la
boucle de lobligation de rendre compte envers les personnes responsables de
lensemble de lorganisation (par exemple, le conseil dadministration).
Groupe Eyrolles
Les valuations du contrle interne varient en tendue et en frquence, en

fonction de limportance relative des risques couverts par les contrles, dune
part, et des contrles visant les rduire, dautre part.
Le Turnbull
Le management est responsable de la mise en uvre dun processus continu
de pilotage afin de sassurer de lapplication des politiques, des procdures et
des activits relatives au contrle interne et la gestion des risques. Ce processus inclut des auto-valuations, la confirmation par les membres de lorganisation du respect des politiques et du code de conduite, des audits internes
ou dautres revues effectues par le management. Un tel processus doit permettre de sassurer que lorganisation est mme de rvaluer ses risques et
dadapter les contrles en fonction des modifications de ses objectifs, de son
activit ou de lenvironnement externe.
Des communications, relatives lefficacit du processus de pilotage, doivent

tre ralises, au moment opportun, auprs du Conseil et doivent inclure :
lvaluation de tous les risques significatifs ;
lvaluation de lefficacit du contrle interne au regard de ces risques ;
lidentification de toutes les faiblesses ou les dfaillances de contrles, en
prcisant limpact quils ont, auraient, ou peuvent avoir sur la socit ;
les actions prises pour pallier et rectifier ces dysfonctionnements.
valuation annuelle
Groupe Eyrolles
Selon le Turnbull, le conseil doit dfinir le processus relatif la revue defficacit du contrle interne, tous les contrles internes y tant soumis (oprationnels, de conformit, financiers). Durant lanne, il doit revoir les
rapports du management relatifs au contrle interne et doit :
identifier les risques significatifs et valuer comment ils ont t identifis,
mesurs et grs ;
valuer lefficacit du systme de contrle interne permettant de grer les
risques significatifs, en particulier au regard des dfaillances ou des faiblesses de contrle interne qui lui auraient t rapportes ;
considrer si les actions ncessaires sont prises temps pour remdier aux
faiblesses et aux dfaillances identifies ;
considrer si les points faibles identifis indiquent la ncessit dun suivi
renforc du systme de contrle interne.
Lvaluation annuelle du conseil doit prendre en compte plusieurs paramtres. Il sagit tout dabord des changements intervenus durant lanne et de la
capacit de lentreprise rpondre ces changements.
Il doit galement examiner le primtre et la qualit du suivi relatif aux risques et au systme de contrle interne ralis par le management et, le cas
chant, le travail ralis par laudit interne et les autres fonctions dassurance.
Le conseil prend aussi en compte ltendue et la frquence des communications de ses diffrents comits, permettant de construire une valuation
annuelle, ainsi que limpact des dfaillances et des faiblesses significatives de
contrle interne qui ont, auraient ou pourraient avoir des consquences sur
la performance de lentreprise.
Enfin, il doit considrer lefficacit du processus de reporting de lentreprise.
Selon le COSO, les faiblesses du systme de contrle interne dune organisation peuvent tre identifies lors des oprations courantes de pilotage, des
valuations spares du systme de contrle interne, ainsi que par des tiers.
Une faiblesse peut correspondre une carence observe, potentielle ou
relle, ou tre une opportunit de renforcer le systme de contrle interne,
afin daccrotre la probabilit datteindre les objectifs de lentreprise.
Remonte des informations

Le COSO prcise que toutes les faiblesses de contrle interne susceptibles
davoir un impact sur la ralisation des objectifs de lentreprise doivent tre
signales aux responsables habilits prendre des mesures appropries. Il est
ncessaire de tenir compte de limpact de la faiblesse dtecte pour dterminer si elle doit tre signale.
Il est essentiel non seulement de signaler la transaction ou lvnement, mais
galement de procder une nouvelle valuation des contrles potentiellement dfectueux. On peut avancer lide que tout problme est suffisamment significatif pour justifier la recherche des consquences sur le contrle.
Personnes informer
Le COSO
Les faiblesses du contrle interne doivent non seulement tre signales la
personne responsable de la fonction ou de lactivit concerne, celle-ci pouvant prendre toute mesure corrective, mais galement son suprieur hirarchique, direct ou non, dans la structure.
Groupe Eyrolles
Faiblesse de contrle interne et remonte de linformation
Le CDR AMF
La direction gnrale ou le directoire apprcient les conditions dans lesquelles ils informent le conseil des principaux rsultats des surveillances et des
examens ainsi exercs.
Les acteurs du contrle interne et leur responsabilit
Le COSO, le COCO et le CDR AMF considrent que le contrle interne

est laffaire de tous les collaborateurs de la socit. Toutefois, trois acteurs
sont cits communment par les quatre rfrentiels tudis : le conseil
dadministration, le management et les autres membres du personnel.
Ces quatre rfrentiels font galement rfrence de manire implicite (COCO)
ou explicite (COSO, Turnbull, CDR AMF) la fonction daudit interne. Pour
le COSO et le CDR AMF, la responsabilit de laudit interne rside dans lvaluation du systme de contrle interne et de son efficacit. Les deux rfrentiels
reconnaissent le rle minent de laudit interne en matire de contrle, tout en
affirmant quil na pas de responsabilit dans sa mise en place.
Groupe Eyrolles
Le COSO, lui, consacre des parties clairement identifies trois autres

acteurs et leur responsabilit en matire de contrle interne savoir le
comit daudit, les cadres financiers, et les tiers.
En matire de responsabilit du systme de contrle interne, les rfrentiels divergent. Bien quils reconnaissent tous au conseil dadministration
un rle important en matire de contrle interne, le Turnbull est le seul
rfrentiel qui lui attribue la responsabilit principale. Pour le COSO,
cette responsabilit revient au management et en particulier au P-DG,
premier responsable du systme de contrle interne. Le COCO, quant
lui, nattribue pas de responsabilit ultime : partout dans lorganisation, les
personnes participent au contrle et en ont la responsabilit. Le rle du
conseil pour le CDR AMF apparat plus limit que dans le rfrentiel
COSO. Alors que selon ce dernier, le contrle interne est un processus
mis en uvre par trois acteurs (le conseil, les dirigeants et le personnel), le
CDR AMF distingue clairement la direction gnrale et le directoire, qui
conoivent le dispositif de contrle interne, et le personnel, qui est charg
de sa mise en uvre. tant donn quen France les lois, les rglementations et les codes sont peu prolixes pour prciser le rle du conseil dadministration dans le domaine du contrle interne, il en rsulte, de la part du
CDR AMF, une position pragmatique. Selon celle-ci, le niveau dimpli-
cation du conseil varie dune socit lautre. Mais ce dernier a la possibilit de prendre toutes les initiatives ncessaires pour jouer un rle
appropri dans la surveillance du dispositif de contrle interne.
Mais le rfrentiel COSO va plus loin que le CDR AMF : il met en avant
le devoir dalerte thique de tous les employs et note linfluence que
peuvent avoir certains tiers la socit pour le maintien du contrle
interne. Notons toutefois que selon le CDR AMF, la surveillance du dispositif de contrle interne peut sappuyer sur les remarques formules par
les commissaires aux comptes et les ventuelles instances rglementaires
de supervision.
Le conseil dadministration
Le COSO
Le conseil dadministration et le comit daudit supervisent le systme de
contrle interne. En fait, tous les comits du conseil dadministration, de par
leur rle de supervision, constituent des lments importants du systme de
contrle interne.
Le COCO
Le conseil dadministration est responsable de la grance de lorganisation, y
compris des fonctions de contrle dans les domaines suivants :
approbation et surveillance du respect de la mission, de la vision et de la
stratgie de lorganisation ;
approbation et surveillance des valeurs thiques de lorganisation ;
surveillance du contrle de gestion ;
valuation de la direction gnrale ;
supervision des communications externes ;
apprciation de lefficacit du conseil.
Le Turnbull
Le conseil est responsable du systme de contrle interne de lorganisation. Il
doit mettre en place les politiques de contrle interne et rechercher rguli-
Groupe Eyrolles
Le COSO et le CDR AMF reconnaissent le rle de surveillance du comit

daudit sur le dispositif de contrle interne et lapport positif de laudit
interne pour laider exercer cette responsabilit.
rement lassurance que ce systme fonctionne efficacement. De plus, il doit

sassurer que ce systme de contrle interne est efficace pour grer les risques.
Le CDR AMF
Le niveau dimplication des conseils en matire de contrle interne varie

dune socit une autre. Il appartient la direction gnrale ou au directoire de rendre compte au conseil (ou son comit daudit lorsquil existe)
des caractristiques essentielles du dispositif de contrle interne. Si ncessaire, le conseil peut faire usage de ses pouvoirs gnraux pour faire procder
par la suite aux contrles et aux vrifications jugs opportuns ou prendre
toute autre initiative quil estimerait approprie.
Le comit daudit
Le COSO
Le comit daudit (ou le conseil dadministration en labsence dun tel
comit) occupe une position privilgie : il a les pouvoirs ncessaires pour
interroger la direction sur la faon dont elle assume ses responsabilits en
matire dinformations financires, ainsi que pour sassurer du suivi des
recommandations. Le comit daudit, agissant en collaboration ou en complment dune fonction daudit interne influente, est le mieux plac pour
identifier les tentatives de la direction d outrepasser le systme de contrle
interne dune part, et dautre part, pour agir en consquence. Il est clair que
le contrle interne se trouve renforc par son existence.
Le CDR AMF
Groupe Eyrolles
Lorsquil existe, le comit daudit devrait effectuer une surveillance attentive

et rgulire du dispositif de contrle interne. Pour exercer ses responsabilits
en toute connaissance de cause, il peut entendre le responsable de laudit
interne, donner son avis sur lorganisation de son service et tre inform de
son travail. Il doit tre en consquence destinataire des rapports daudit
interne ou dune synthse priodique de ces rapports.
Le management
Le COSO
Les directeurs des diffrentes entits sont responsables du contrle interne li

aux objectifs de celles-ci. Ils pilotent le dveloppement et la mise en uvre
des normes et des procdures de contrle interne destines permettre la
ralisation des objectifs de lunit, et sassurent quelles sont cohrentes avec
les objectifs gnraux de la socit.
Le P-DG ayant lultime responsabilit du systme de contrle interne doit
rendre compte au conseil dadministration de tout ce qui sy rapporte.
Le COCO
Les membres de la direction participent au contrle et ont la responsabilit
den rendre compte.
Le Turnbull
Le rle du management est dappliquer les politiques de contrle et de risques dfinies par le conseil. Pour cela, le management doit valuer les risques
encourus par lorganisation, dfinir, mettre en uvre et piloter un systme
de contrle interne fiable.
Le CDR AMF
Le directeur gnral ou le directoire sont chargs de dfinir, dimpulser et de
surveiller le dispositif le mieux adapt la situation et lactivit de la socit.
Dans ce cadre, ils se tiennent rgulirement informs de ses dysfonctionnements, de ses insuffisances et de ses difficults dapplication, voire de ses
excs, et veillent lengagement des actions correctives ncessaires.
Groupe Eyrolles
Le management est directement responsable de lensemble des activits de

lorganisation, y compris de son systme de contrle interne. Le P-DG
assume la responsabilit ultime. Il est ainsi le premier responsable du systme
de contrle interne. Pour cela, il doit sassurer de lexistence dun environnement de contrle positif et donner lexemple par des principes de conduite
influenant les facteurs ayant trait lenvironnement de contrle.
Les cadres financiers
Pour le COSO, les cadres financiers et leurs quipes jouent un rle de pilotage particulirement important, puisque leurs activits de contrle sont
exerces sur la structure de lentreprise, non seulement de haut en bas, mais
galement de faon transversale travers les autres units oprationnelles et
fonctionnelles. Ainsi, le directeur financier, le directeur des services comptables, le contrleur de gestion et les autres acteurs de la direction financire,
jouent un rle dterminant dans la faon dont le contrle est exerc par le
management. Le directeur financier (ou le directeur des services comptables), doit tenir une place cruciale dans la dtermination des objectifs et ltablissement de la stratgie de lorganisation, dans lanalyse des risques et la
prise de dcision concernant la faon de grer les changements ayant un
impact sur lorganisation.
Quant au CDR AMF, il souligne que les cadres financiers doivent jouer un
rle important de pilotage et de contrle.
Les autres membres du personnel

Le COSO
Il prcise que dans une certaine mesure, le contrle interne relve de la responsabilit de tous les membres du personnel et doit donc tre mentionn,
de faon explicite ou implicite, dans la description de poste de chaque
employ. Le contrle interne est laffaire de tous et les rles et responsabilits
de lensemble des membres du personnel doivent tre clairement dfinis et
efficacement communiqus.
Le COCO
Groupe Eyrolles
La responsabilit du contrle existe partout dans lorganisation en relation

avec lobligation de rendre compte de latteinte des objectifs. Les responsables, individuellement ou en quipe, de la ralisation dobjectifs doivent galement tre chargs de lefficacit du contrle qui contribue la ralisation
de ces objectifs et communiquer les rsultats de ces valuations aux personnes auxquelles elles doivent rendre des comptes.
Le Turnbull
Il prcise que les employs doivent avoir les comptences, la connaissance,
linformation et lautorit ncessaires pour tablir et suivre le systme de
contrle interne. Pour cela, ils doivent connatre et comprendre les objectifs
de la socit, le march sur lequel celle-ci volue et les risques auxquels elle
doit faire face.
Le CDR AMF
Les auditeurs internes

Le COSO
Les auditeurs internes procdent un examen direct du systme de contrle
interne et recommandent des amliorations. Les normes mises par lIIA
prcisent quun audit interne doit comprendre lexamen et lvaluation du
caractre suffisant et de lefficacit du systme de contrle interne de lorganisation ainsi quune valuation qualitative des performances ralises par les
individus lors de lexcution des tches qui leur sont attribues. La fonction
daudit interne nest pas directement implique dans la mise en place ou le
maintien du systme de contrle interne. Ceci relve de la responsabilit du
P-DG et de lencadrement suprieur (y compris, ventuellement, le responsable du dpartement daudit interne). Cest dans lvaluation des systmes
de contrle interne que les auditeurs internes jouent un rle important, contribuant ainsi prserver lefficacit de ces systmes.
Le Turnbull
Les socits ne disposant pas dune fonction daudit interne doivent revoir
rgulirement leur besoin en la matire. Le conseil doit sassurer de faon
annuelle du besoin de cette fonction. Ce besoin varie en fonction de divers
critres (taille, diversit, complexit des entreprises, nombre demploys...).
Il est indiqu quen labsence de fonction daudit interne, le management
doit appliquer dautres processus de suivi de manire lui fournir, ainsi quau
conseil, lassurance que le systme de contrle interne fonctionne comme
prvu. Dans ce cas, le conseil doit sassurer quun tel processus fournit une
assurance suffisante et objective.
Groupe Eyrolles
Chaque collaborateur concern devrait avoir la connaissance et linformation ncessaires pour tablir, faire fonctionner et surveiller le dispositif de
contrle interne, au regard des objectifs qui lui ont t assigns. Cest le cas
des responsables oprationnels en prise directe avec le dispositif de contrle
interne, mais aussi des contrleurs internes, qui doivent jouer un rle important de pilotage et de contrle.
Le CDR AMF
Lorsquil existe, le service daudit interne a la responsabilit dvaluer le
fonctionnement du dispositif de contrle interne et de faire toutes prconisations pour lamliorer, dans le champ couvert par ses missions. Il sensibilise
et forme habituellement lencadrement au contrle interne, mais nest pas
directement impliqu dans la mise en uvre quotidienne du dispositif. Le
responsable de laudit interne rend compte des principaux rsultats de la surveillance exerce la direction gnrale et, selon des modalits dtermines
par chaque socit, aux organes sociaux.
Les tiers
Selon le COSO, plusieurs catgories de tiers peuvent contribuer la ralisation des objectifs de lentreprise, parfois grce des actions menes
paralllement celles de la socit. Dans dautres cas, les tiers peuvent fournir des informations utiles lentit dans ses activits de contrle interne.
Parmi ces tiers, le COSO cite les auditeurs externes, les lgislateurs et les
autorits de tutelle, les tiers ayant une interaction avec lentit, les analystes
financiers, la presse
POUR CONCLURE
Voici les dix points cls des quatre principaux rfrentiels de contrle interne :
1. Le contrle interne se dfinit comme un ensemble de moyens aidant une
organisation raliser ses objectifs que lon peut classer en trois catgories :
efficacit et efficience des oprations ;
fiabilit de linformation interne et externe ;
conformit aux lois, aux rglements et aux politiques internes.
Groupe Eyrolles
2. Le champ du contrle interne comporte toutes les activits de gestion,

lexception, selon les rfrentiels, de ltablissement des objectifs, de la planification
stratgique, de la gestion des risques et des mesures correctives, des prises de
dcision.
3. Tout systme de contrle interne ne peut fournir quune assurance raisonnable que
lorganisation pourra atteindre ses objectifs. Il existe en effet des limites inhrentes au
contrle interne :
erreurs de jugement dans la prise de dcision ;
dfaillances dues des erreurs humaines ;

contrles outrepasss par la direction.
Par ailleurs, il faut tenir compte de lquilibre cots/avantages dans ltablissement
dun systme de contrle interne.
5. Lvaluation des risques, donne fondamentale de tout systme de contrle

interne, exige que les objectifs soient fixs au pralable. Ceux-ci, gnraux au
niveau de lorganisation et spcifiques au niveau des diffrentes units, doivent tre
clairs, comprhensifs par tous et mesurables.
6. Les risques doivent tre identifis selon un processus continu et rptitif. Il est
ncessaire notamment didentifier ceux pouvant avoir une incidence importante sur
la ralisation de chaque objectif important de lorganisation. Deux risques mritent
une attention particulire :
que lorganisation ne conserve pas sa capacit identifier et mettre profit les
opportunits ;
que lorganisation ne conserve pas sa capacit ragir et sadapter lorsque des
risques nouveaux apparaissent.
Les risques doivent tre analyss et valus en fonction de leur probabilit
doccurrence et leur impact.
7. Un systme de normes et de procdures permettant de sassurer que les mesures
ncessaires sont prises en vue de matriser les risques susceptibles daffecter la
ralisation des objectifs de lorganisation doit tre mis en place. Parmi les activits de
contrle courantes, on trouve lobservation, la comparaison, lapprobation, la
coordination, la vrification, lautorisation, le rapprochement, la supervision, la
sparation des fonctions
8. Il est ncessaire de disposer dune information pertinente, fiable et diffuse au
moment opportun aux personnes qui en ont besoin pour leur permettre dassumer
leurs responsabilits, sachant que les besoins en information ainsi que les systmes
dinformation doivent voluer en fonction des changements de lenvironnement.
9. Il convient de mettre en avant un processus de surveillance permanente du
contrle interne et de raliser des valuations ponctuelles de son efficacit.
10. Le contrle interne est laffaire de tous : conseil dadministration et ses comits ;
direction gnrale ; lensemble des managers ; laudit interne ; tout le personnel.
Groupe Eyrolles
4. Le systme de contrle interne doit reposer sur des valeurs thiques traduites dans
un code de conduite ; les politiques et les pratiques en matire de ressources
humaines doivent tre dtermines en fonction de ces valeurs thiques ; les pouvoirs
et les responsabilits de chacun doivent tre clairement dfinis ; les membres de
lorganisation doivent possder les connaissances et les comptences ncessaires
laccomplissement de leurs tches.
Chapitre 3
Audit et contrle interne bancaire :

la gestion de multiples rfrentiels
en contexte international
PAR RIC LAMARQUE,
Professeur lUniversit Montesquieu Bordeaux IV
ET PAR FRANCIS LAMARQUE,

ancien cadre dirigeant de banque,
aujourdhui consultant 1.
es dfinitions du contrle interne sont nombreuses et les pratiques des

entreprises en la matire tmoignent dune grande diversit. Dans son
rapport 2004 sur le gouvernement dentreprise et le contrle interne, lAMF
notait qu la diffrence de la gouvernance dentreprise qui bnficie
dsormais de standards de place auxquels les metteurs peuvent se comparer,
labsence dun rfrentiel unanimement admis sur le contrle interne en
rend la description plus difficile et peut constituer un frein si lon souhaite
parvenir terme une valuation de ladquation et de lefficacit des
systmes . Dans le secteur bancaire, cette diversit est largement la rgle. La
France, depuis 1997, applique le rglement du 21 fvrier 1997 (CRBF 9702) du Comit de la Rglementation Bancaire et Financire (CRBF)2, relatif
au contrle interne des tablissements de crdit et des entreprises dinvestissement, modifi par larrt du 31 mars 2005. Par ailleurs, les rgles applicables aux entreprises cotes fournissent dautres rfrentiels. Et, selon le lieu
de cotation, ces derniers peuvent tre diffrents. Ds lors se pose le problme
Groupe Eyrolles
1. Les auteurs remercient les collaborateurs des banques interviews pour ce travail.
2. Ce comit a pour mission de fixer dans le cadre des orientations dfinies par le gouvernement et sous rserve des attributions du Comit de la rglementation comptable,
les prescriptions dordre gnral applicables aux tablissements de crdit et aux entreprises dinvestissement .
cela sajoute la spcificit de lactivit bancaire, dont le contrle ncessite

une orientation particulire tourne vers la gestion des risques. La diversit
de ces risques, financiers et oprationnels, complexifie la dmarche. Pour
illustrer cette situation, nous avons retenu le cas dune banque europenne
oprant en France et cote galement New York. Ainsi, la filiale franaise
se trouve soumise au CRBF 97-02 franais, la loi Sarbanes-Oxley (SOX),
Ble 21 et au rfrentiel de son pays dorigine. Il est difficile de dcrire ici
lensemble des interactions et des difficults lis cette multiplicit et nous
nous focaliserons sur la double contrainte CRBF/SOX.
Aprs avoir dcrit les principales caractristiques de ces rfrentiels et
lorientation particulire du dispositif de contrle dans le contexte bancaire,
nous nous efforcerons de dresser un bilan des points de convergence et des
difficults de mise en uvre de ces dispositifs.
Laffirmation du rle cl du contrle interne dans la banque

Lorsquon examine la fois le CRBF 97-02, Ble 2 ou la loi SOX, le point
de convergence principal rside dans laffirmation nette de la ncessaire existence dun dispositif de contrle interne au sein duquel laudit interne et
externe tient une place centrale (tableau n 1). Cette convergence a conduit
les tablissements organiser leur dispositif en diffrents niveaux et rflchir
la gouvernance gnrale du dispositif.
Les diffrents niveaux de contrle

Le contrle interne (CI) concerne la banque dans toutes ses activits. Il
sapplique aux biens, aux individus et aux informations, quelles que soient
les circonstances ou lpoque de lanne. Toutefois, on ne peut contrler que
ce qui est organis. Lensemble des activits de la banque doit, au pralable,
tre structur : dfinition des niveaux de contrle, organisation rigoureuse
de la fonction.
1. Le Nouvel Accord de Ble constitue un dispositif prudentiel destin mieux apprhender les risques bancaires et principalement le risque de crdit ou de contrepartie et
les exigences en fonds propres.
Groupe Eyrolles
du respect de ces diffrents rfrentiels et la recherche de synergies dans la

dmarche gnrale de contrle, lorganisation mise en place et la coordination ncessaire entre les diffrents services en charge de la mise en uvre de
ces diffrents rfrentiels.
Audit et contrle interne bancaire 97
Tableau n 1 - La prise en compte du contrle interne selon trois rfrentiels

CRBF 97-02
Ble 2
SOX
Entirement tourn vers le

dispositif de contrle
interne, il se veut exhaustif
et ne laisser aucun type de
risque lcart de lanalyse.
Il a pour but de contraindre
les banques rationaliser la
gestion de leurs risques en
formalisant des obligations
qualitatives. Lobjectif est de
sassurer que les risques de
toute nature sont analyss
et surveills et de contribuer
la dtection prcoce ainsi
qu la prvention des difficults. Plusieurs dispositions nouvelles introduites
par larrt du 31 mars 2005
touchent lorganisation du
contrle interne. Venant
complter ou prciser celles
dj prvues dans les textes antrieurs, elles distinguent en particulier deux
aspects importants :
contrle permanent et
contrle priodique ;
rle et lorganisation du
contrle permanent.
Pilier 2 : lobjectif est de

sassurer que les tablissements de crdit appliquent
des procdures internes
efficaces pour calculer
ladquation de leurs fonds
propres sur la base dune
valuation approfondie des
risques rellement supports. Les banques doivent
galement avoir une stratgie de maintien des fonds
propres.
Ce dispositif permet aux
agences de supervision
bancaire de dterminer la
validit des procdures et
dobliger les contrls les
modifier en cas de doute
sur leur pertinence. Les
contrleurs peuvent fixer un
niveau de fonds propres
suprieurs 8 % si les risques lexigent. Le processus de surveillance
prudentielle renforce
donne, par consquent, une
plus grande marge de
manuvre aux agences de
supervision, en leur permettant de discriminer diffrents types de banques.
Section 404 : valuation du

contrle interne.
La loi exige que chaque rapport de gestion contienne
un rapport sur le contrle
interne, qui doit :
confirmer que la direction
est responsable de ltablissement et de la gestion la
fois dune structure de contrle adquate et des procdures internes pour le
reporting financier ;
contenir une valuation de
lefficacit de la structure et
des procdures de contrle
interne pour le reporting
financier la date de clture
des comptes.
Les auditeurs externes doivent certifier, par le biais
dun rapport, lvaluation du
contrle interne par la direction de lentreprise.
Groupe Eyrolles
Contrles du premier niveau

Il sagit de lensemble des contrles effectus au sein de chaque service ou de
chaque unit oprationnelle initiant des oprations administratives ou bancaires. Les principes dorganisation et les rgles de procdures doivent tre
conues de faon constituer un premier degr vritablement efficace. Ces
principes sorganisent autour de :
un recensement exhaustif des fonctions (commerciales, administratives,

financires et autres exerces au sein de la banque) ;
un inventaire des risques lis chacune de ces fonctions ;
une stricte sparation des tches ;
la formalisation des procdures.
Ce contrle sintgre dans les processus oprationnels et fonctionnels pour

en assurer le droulement correct. Il vise sassurer de lexactitude et de la
conformit des oprations, du droulement correct des procdures et de
leur adquation la nature des oprations et des risques qui y sont associs. Ce processus en continu peut permettre de dcouvrir et de corriger
rapidement les situations anormales, comme des dpassements de plafond
dengagement.
Ce contrle fait ainsi appel la vigilance de chaque salari dans le travail quil
effectue en lui permettant dviter le moindre risque derreur. Il vise par l
mme propager une forte culture de contrle. Le contrle de premier
niveau pourrait tre assimil ainsi un contrle des flux.
Contrles du deuxime niveau

Les contrles de deuxime niveau sont organiss un niveau hirarchique
suprieur. On y retrouve tous ceux effectus par des services nayant pas
gnr eux-mmes les oprations :
le service comptable assure rgulirement (mensuellement) la supervision
de lensemble des comptabilits divisionnaires ;
les services crdits du sige sassurent du respect des dlgations, des
normes et des procdures, des limites dengagement par contrepartie ;
le contrle de gestion vise respecter les budgets des diffrentes entits.
Chaque responsable de dpartement a pour mission, dans le cadre de ses responsabilits de management, dorganiser des contrles rguliers. Ceux-ci
doivent tre effectus dans chaque dpartement priodiquement et rgulirement (sur une base mensuelle par exemple). Ils doivent tre formaliss par
crit pour ne pas laisser la place la moindre ambigut.
lissue de la vrification, le contrle permanent met un constat quil rapporte au responsable du dpartement concern. Le contrleur de second
Groupe Eyrolles
En pratique
niveau sappuie sur la technique de lenqute et, plus prcisment, utilise les
questionnaires comme un moyen de vrifier les contrles raliss par les contrleurs oprationnels ainsi quun moyen de communication avec ces derniers.
En pratique
La frquence des contrles dpend de la nature de la transaction vrifier.

Si le contrleur souhaite par exemple sassurer de la scurit du coffre-fort,
bien que cette situation prsente un risque important pour la banque, ce
contrle ne sera effectu quune fois ou, au mieux, deux fois par an. Ainsi,
toute opration caractre stable est faiblement contrle. En revanche,
une opration juge volatile fera lobjet de contrles plus frquents. Il sagit
notamment du domaine informatique, o les changements de systmes
sont assez frquents, ou encore de la trsorerie de la banque.
Les contrles de second niveau rpondent au contrle permanent demand

dans le cadre des derniers rglements du contrle interne en France.
Contrles de troisime niveau

Ils sont exercs par le dpartement Audit Interne pour sassurer de la ralit
des contrles de premier et de deuxime niveaux. Ils sont eux-mmes complts par les missions ralises par linspection gnrale du groupe. Ce
dpartement lui est dailleurs rattach. Au-del de sa mission, il a pour principal objectif de sassurer du bon fonctionnement du contrle interne dans le
cadre notamment de lapplication du rglement 97/02.
Groupe Eyrolles
Son action sorganise sur la base dun plan daudit annuel soumis la direction. Elle porte sur toutes les activits de la banque, sans aucune exclusion.
Des interventions non planifies peuvent tre dclenches en fonction
dvnements internes ou externes sa demande. Les contrles et/ou missions daudit font lobjet de notes de synthse ou de rapports qui lui sont
transmis ainsi quaux responsables des services audits.
Selon la dfinition de lIIA, galement utilise par les groupes bancaires,
laudit interne est une activit indpendante et objective qui donne une
organisation une assurance sur le degr de matrise de ses oprations, lui
apporte ses conseils pour les amliorer et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une
approche systmatique et mthodique, ses processus de management des risques, de contrle, de gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit .
Laudit interne participe la surveillance permanente du dispositif de contrle

interne et fournit une valuation indpendante de son adquation et de sa
conformit avec les procdures et la politique dcide par la banque. Dans
lexercice de cette mission, la fonction daudit interne aide la direction gnrale
et le conseil de surveillance, qui tient lieu de comit daudit, assumer effectivement et efficacement leurs responsabilits en matire de dispositif de contrle.
Un compte-rendu semestriel dactivit et les rsultats du contrle interne

sont prsents lorgane dlibrant ainsi quun rapport annuel des lments
essentiels et des enseignements principaux des mesures de risques, notamment de rpartition des engagements par zone de vulnrabilit.
Ce troisime niveau est complt par les audits externes des commissaires
aux comptes qui collaborent notamment avec laudit interne pour optimiser
la couverture des activits auditer. Ils sont destinataires du rapport de synthse dcrivant les conditions dans lesquelles le contrle interne est assur sur
lensemble du groupe et du rapport de synthse sur la mesure et la surveillance des risques auxquels les tablissements de crdits sont exposs.
In fine, un contrle interne structur associ une fonction daudit interne,
et un audit externe indpendant participent un gouvernement dentreprise
sain. Cette organisation est la cl dun contrle interne fiable et efficace face
aux nouveaux dfis de lenvironnement bancaire et financier.
Amliorer la gouvernance du dispositif

la lecture du CRBF 97-02, il ressort une numration de grands principes
respecter par les tablissements assujettis. Lobligation de se conformer ce
texte de loi ; qui ne suggre aucun principe dapplication, pose un problme
dinterprtation par le systme de contrle des oprations et des procdures
internes. Le nouveau rglement sur le contrle interne introduit une exigence trs forte de formalisme, simposant toutes les directions des tablissements de crdit. Dans beaucoup de cas, cette exigence nest pas facilement
ralisable ou culturellement loigne (par exemple en salle de march).
Outre cette condition gnrale defficacit, deux lments peuvent favoriser
le rendement du dispositif : amliorer la coordination entre les acteurs et
complter le dispositif par le recours au rfrentiel COSO.
Groupe Eyrolles
Dun point de vue global, le champ dintervention de laudit interne porte

sur lensemble des activits de la banque. Les missions programmes par le
dpartement audit ont pour vocation de tester que le contrle effectu par le
contrle permanent est bien assur.
La coordination des acteurs dans le systme de contrle

Le besoin de coordination se situe plusieurs niveaux selon la taille des organisations et leur degr dinternationalisation. Dans le contexte dune banque
de taille mondiale, la complexit augmente et le besoin de coordination et de
pilotage est dautant plus lourd et coteux.
Le point dcisif rside dans la qualit de la coordination entre les instances de
gouvernance. Le schma ci-aprs rsume ces besoins.
Organes de
surveillance de l'tat
Surveillance
Conseil
d'administration
Information/Coordination
Surveillance
Comit d'audit
Information
Coordination
Audit externe
Information
Direction gnrale
Audit
Contrle interne
But de l'audit :
intgrit des processus ;
efficience et efficacit
des processus
Information
Coordination
Collaboration
But du CI :
crire les processus
tablir les rfrentiels
efficience, efficacit, revues
Groupe Eyrolles
Schma n 1 La coordination des acteurs
De nombreux auditeurs relvent la complexit du travail dans le contexte

bancaire. Dans leur rle dorgane de rvision, ils ne vrifient pas seulement
les tats financiers. Ils prennent position sur le respect des lments prudentiels et des conditions dagrment et ce titre sont surveills par les instances
tatiques de contrle. Par ailleurs, ils doivent constater le (non-)respect de la
rglementation bancaire, se prononcer sur la situation financire et le rentabilit et notamment prsenter des indications quantitatives et qualitatives sur
la situation des risques (adquation de la politique des risques, gestion et

contrle).
La dimension internationale ajoute un lment de complexit ce dispositif
et aux besoins de coordination afin de crer des synergies dans le contrle.
En pratique
Et, bien que nayant aucune ligne hirarchique dans lorganisation SOX, le
contrle permanent de la banque europenne subit pourtant les exigences
de cette loi. Ainsi, les contrleurs permanents sont contraints de rdiger les
guides daudit dcrivant les processus mtier pour le compte de laudit.
En revanche, la planification des missions Sarbanes-Oxley reste dissocie de

celles du contrle permanent et la collaboration entre ces deux organisations
nest pas tablie. En effet, cette planification mane de la direction Monde,
alors que les contrles requis dans le primtre du CRBF 97-02 sont dcids
au niveau franais. Cette absence de consultation entre ces deux cellules cre
une situation de double contrle. Une synergie entre laudit monde et
laudit local est indispensable afin dviter les doubles contrles et de raliser
une rduction des cots et/ou une optimisation des moyens.
Par ailleurs, il est constat que les contrles SOX relevant de la hirarchie
monde bnficient dune attention particulire avec loctroi dune enveloppe budgtaire importante, contrairement aux moyens dbloqus pour le
contrle permanent.
Ajoutons cet exemple que le contrle permanent, contrairement la direction Groupe responsable des contrles SOX, ne sappuie pas sur une cartographie des risques indispensable pour :
les identifier et faire en sorte que les diffrents acteurs aient la mme ide
des risques business ;
instaurer un langage commun en ce qui concerne ces risques.
Au niveau des relations Monde/France, le groupe audit France est rattach
directement au prsident du directoire de cette filiale. En fonction des missions effectues, laudit France rend compte aux dirigeants (dans le cadre des
Groupe Eyrolles
titre dexemple, lorganisation du contrle interne dans une banque

europenne de taille mondiale distingue le contrle interne relevant du
CRBF 97-02 de celui de laudit relevant de la loi SOX.
missions daudit classiques) et au comit daudit de lentit juridique audite

(pour les missions SOX) ainsi quau responsable de la ligne mtier audite. Le
groupe audit France rapporte au responsable du groupe audit mondial. Ce
rattachement est destin assurer lindpendance de la fonction daudit
Malgr ltendue des risques grs dans le cadre du 97-02, ceux notamment
derreur humaine ou de fraude, ainsi que les paramtres de marchs, ne peuvent tre intgralement matriss.
Le recours au COSO, outil complmentaire en contexte international
Tout modle de contrle possde naturellement ses limites. En complment

des directives du CRBF 97-02 ou de SOX, le modle COSO, prconis
mais non exig par la Securities Exchange Commission, fournit des lments
complmentaires.
Comme nous lavons vu dans le chapitre prcdent, la dfinition du COSO
suggre que le contrle interne est le processus mis en uvre par le conseil
dadministration, les dirigeants et le personnel dune organisation, destins
fournir lassurance raisonnable quant aux objectifs suivants :
ralisation et optimisation des oprations ;
fiabilit des oprations financires ;
conformit aux lois et aux rglementations en vigueur .
Lide est de fournir une assurance raisonnable sur le fonctionnement de
ltablissement et dimpliquer lensemble du personnel dans le dispositif. Les
travaux du COSO, qui ne sont pas les seuls mais ont le mrite de lantriorit
et bnficient dune large approbation, reprsentent symboliquement le
contrle interne dune entit par une pyramide compose de cinq lments.
Cette reprsentation signifie que ces cinq lments que nous allons brivement rappeler1 doivent imprativement se retrouver dans toute organisation
pour une matrise raisonnable des activits tous les chelons de la hirarchie.
Groupe Eyrolles
Environnement de contrle interne

Lenvironnement de contrle constitue un lment trs important de la culture dune entreprise, puisquil dtermine le niveau de sensibilisation du personnel au besoin de contrles. Il constitue le fondement de tous les autres
1. Pour une prsentation dtaille du COSO, voir dans cet ouvrage la contribution de
Louis Vaurs et de Florence Fradin, Une comparaison des principaux rfrentiels de
contrle interne (p. 53).
lments du contrle interne, en imposant discipline et organisation. Les

facteurs ayant un impact sur lenvironnement de contrle comprennent
notamment :
lintgrit, lthique et la comptence du personnel ;
la philosophie et le style de management des dirigeants ;
la politique de dlgation des responsabilits, dorganisation et de formation du personnel ;
lintrt manifest par le conseil dadministration et sa capacit dfinir
les objectifs.
Toute entreprise est confronte un ensemble de risques externes et internes

qui doivent tre valus. Avant de procder cette valuation, il est ncessaire de dfinir des objectifs compatibles et cohrents. Ainsi, lvaluation des
risques consiste en lidentification et en lanalyse des facteurs susceptibles
daffecter la ralisation de ces objectifs. Cette identification doit dboucher
sur une cartographie des risques et une valuation de la perte potentielle
rcurrente ou exceptionnelle (risques majeurs) attache ces risques.
En outre, il sagit dun processus qui permet de dterminer comment ces risques doivent tre grs en termes de prvention (rduire la probabilit
doccurrence) ou de rduction si le risque survient nanmoins (protection,
assurance et auto-assurance).
Enfin, compte tenu de lvolution permanente de lenvironnement micro et
macroconomique, du contexte rglementaire et des conditions dexploitation, il est ncessaire de disposer de mthodes permettant didentifier et de
matriser les risques spcifiques ces changements.
Activit de contrle
Les activits de contrle peuvent se dfinir comme lapplication des normes
et des procdures qui contribuent garantir la mise en uvre des orientations
manant du management. Ces oprations permettent de sassurer que les
mesures ncessaires sont prises en vue de matriser les risques susceptibles
daffecter la ralisation des objectifs de lentreprise. Les activits de contrle
sont menes tous les niveaux hirarchiques et fonctionnels de la structure et
comprennent des actions aussi varies quapprouver et autoriser, vrifier et
rapprocher, apprcier les performances oprationnelles, la protection des
actifs ou la sparation des fonctions.
Groupe Eyrolles
valuation des risques
Information et communication
Linformation pertinente doit tre identifie, recueillie et diffuse sous une
forme et dans des dlais permettant chacun dassumer ses responsabilits.
Les systmes dinformation produisent, entre autres, des donnes oprationnelles, financires ou encore lies au respect des obligations lgales et rglementaires, qui permettent de grer et de contrler lactivit.
Ces systmes traitent non seulement les donnes produites par lentreprise,
mais galement celles manant de lextrieur (vnements, marche de lactivit, contexte gnral) et qui sont ncessaires la prise de dcision en matire
de conduite des affaires et de reporting externe.
Il existe galement un besoin plus large de communication efficace, la fois

ascendante, descendante et horizontale. Le management doit transmettre un
message clair lensemble du personnel sur toutes les responsabilits en
matire de contrle. Les employs doivent comprendre le rle quils sont
appels jouer dans le systme, ainsi que la relation existant entre leurs propres activits et celles des autres membres du personnel. Ils doivent tre en
mesure de faire remonter les informations importantes.
Par ailleurs, une communication efficace avec les tiers, tels que les clients, les
fournisseurs, les autorits de tutelle ou les actionnaires, est aussi ncessaire.
Pilotage
Groupe Eyrolles
Les systmes de contrle interne doivent eux-mmes tre contrls afin

quen soient values, dans le temps, les performances qualitatives.
Pour cela, il convient de mettre en place un systme de suivi permanent ou
de procder des valuations priodiques, ou encore de combiner les deux
mthodes. Le suivi permanent sinscrit dans le cadre des activits courantes et
comprend des contrles rguliers effectus par le management et le personnel dencadrement, ainsi que dautres techniques appliques par le personnel
loccasion de ses travaux. Ltendue et la frquence des valuations priodiques dpendront essentiellement de lvaluation des risques et de lefficacit
du processus de surveillance permanente. Les faiblesses de contrle doivent
tre portes lattention de la hirarchie, les lacunes les plus graves devant
tre signales aux dirigeants et au conseil dadministration.
Le COSO est un cadre efficace qui permet une valuation de la qualit et
lefficacit des processus internes de lentreprise. Un manque de qualit dans
lun de ces processus peut faire diminuer les performances et une irrgularit
au niveau du contrle peut provoquer des consquences ngatives affectant la

fiabilit des rapports financiers.
La mise en uvre du dispositif de contrle dans le secteur bancaire est clairement oriente vers la gestion des risques. La matrise des risques constitue
lun des piliers de la comptitivit des tablissements dautant plus que ceuxci se sont multiplis et ont pris une dimension oprationnelle significative.
Cette dimension risque se retrouve largement dans le cadre des missions
daudit externe ralises. Ensuite, la mise en uvre simultane dune mission
SOX et du dispositif CRBF 97-02 fait ressortir des lments de convergence
et de divergence quil faut exploiter pour optimiser lefficacit et les cots de
ces contrles.
Nature des risques bancaires et spcificit de leur approche

Le titre IV du rglement 97-02 sattache imposer des procdures adquates
de mesure des principaux risques auxquels les tablissements sexposent dans
le domaine des risques de crdit, de march, de taux dintrt global, dintermdiation, de liquidit, de rglement, oprationnel et de non-conformit.
La vision du risque du CRBF 97-02 et ses prolongements

Une dfinition de ces diffrents types de risque est donne au titre I,
article 4. On les regroupe aujourdhui en deux catgories : risques financiers
et oprationnels.
Les risques financiers
Ils sont de cinq types diffrents.
Pour le risque de crdit, la procdure mettre en place permet danalyser la
situation de la contrepartie lie et conduit une classification interne des risques sur la base des dossiers de crdit (article 19). Ces dossiers de crdit
regroupent lensemble des informations qui vont permettre didentifier prcisment les engagements lgard du bnficiaire, donc de cerner les risques. Les tablissements peuvent dans ce cadre dvelopper des outils de
notation interne, afin de rendre la slection des risques plus homogne et de
faciliter la prise de dcision.
Groupe Eyrolles
Une analyse comparative
Concernant le risque de march, il faut une mesure quotidienne et exhaustive des risques rsultant des positions du portefeuille de ngociation et de
ladquation des fonds propres. La mthode retenue doit permettre lagrgation des positions relatives des produits et des marchs diffrents au niveau
de lentreprise ou du groupe.
Pour le risque de taux dintrt global, il convient de raliser le suivi de
lexposition globale de lentreprise assujettie au risque de taux avec notamment une valuation rgulire des risques en cas de forte variation des paramtres de march. La mesure de ce risque doit permettre dapprhender les
facteurs de risque de taux dintrt global et dvaluer limpact de ces diffrents facteurs sur leurs rsultats et leurs fonds propres.
Quant aux risques dintermdiation, des procdures de suivi permettent

dapprhender les engagements lgard des donneurs dordres et des
contreparties et de recenser par donneur dordres les garanties constitues
sous forme de dpts despces ou dinstruments financiers. Le contrle de
ce risque suppose notamment pour chaque donneur dordres la prise en
compte des oprations dj ralises, sa situation financire, enfin le calcul
journalier de la valeur de march de ses positions acheteuse et vendeuse.
Enfin, pour les risques de liquidit et de rglement, des procdures permettent aux tablissements assujettis de connatre leur exposition au risque de
rglement, mesure quils concluent de nouvelles oprations.
Les risques oprationnels
Groupe Eyrolles
Le dispositif vise matriser le risque rsultant dune inadaptation ou dune

dfaillance imputable des procdures, du personnel et des systmes internes ou des vnements extrieurs. La notion de risque oprationnel a t
largie aprs adoption du rglement 2004-02 du CRBF, auparavant limit
aux dfaillances lies aux systmes comptable ou dinformation. Il comprend dsormais celles imputables des causes internes (procdures, personnel, systmes) ou des vnements externes (attentats, catastrophes
naturelles).
Il en va ainsi du risque de non-conformit, une organisation (prvue par
larticle 6 du rglement 97-02) visant matriser le risque de sanction judiciaire, administrative, ou disciplinaire de perte financire significative ou
datteinte la rputation, qui nat du non-respect des dispositions propres
aux activits bancaires ou financires, quelles soient de nature lgislatives ou
rglementaires ou quil sagisse de normes professionnelles et dontologiques .
Le dispositif de limites globales doit tre revu au moins une fois par an par
lorgane excutif ou lorgane dlibrant. Les entreprises assujetties ont lobligation de (article 34) :
sassurer en permanence du respect des procdures et des limites fixes ;
informer les entits ou les personnes dsignes cet effet de lampleur des
tassements et des actions correctrices proposes ou entreprises.
Des limites oprationnelles peuvent galement tre fixes au niveau des diffrentes entits dorganisation interne. Elles doivent tre tablies en cohrence avec les limites globales.
Aprs la mise en place doutils quantitatifs de contrle des risques, il est
devenu indispensable que les tablissements relvent le dfi du renforcement
de leurs systmes internes de contrle. Cette volution, ne avec des risques
de march doit concerner lensemble des activits bancaires. Au cours des
dix dernires annes, la commission bancaire a encourag les tablissements
de crdit renforcer leurs dispositifs de contrle. Ces recommandations sont
au cur du dispositif rglementaire CRBF 97-02 sur le contrle interne.
La commission bancaire, dans le cadre des pouvoirs dont elle dispose par la
loi bancaire, veillera ce que les tablissements les moins avancs se donnent
les moyens datteindre les objectifs dfinis, pour que le renforcement du
contrle interne contribue effectivement la dtection prcoce et la prvention des difficults.
La vision risque de laudit externe bancaire

Pour remplir sa mission, lauditeur va sinscrire dans les thmatiques du
COSO en particulier autour de trois axes.
Analyse de lenvironnement
Quelle est linteraction de la banque avec son environnement ? La rponse
cette question suppose une analyse globale, oprationnelle et stratgique,
Groupe Eyrolles
Quant aux systmes de surveillance et de matrise des divers types de risques

financiers (de crdit, de march de taux dintrt global, dintermdiation,
de rglement et de liquidit), ils doivent comporter un dispositif de limites
globales (article 33). Il sagit pour chaque type de risque, de se fixer des limites ne pas dpasser, et ce en fonction de la nature et du volume des activits
de ltablissement. Les entreprises assujetties doivent galement rexaminer
leur systme de mesure des risques et de dtermination des limites afin quil
reste pertinent dans le temps.
mais aussi rglementaire. Au-del, ce sont les parties prenantes qui sont analyses en regardant jusqu leurs attentes par rapport linstitution.
Apprciation de la culture risque et degr dlaboration du systme
de gestion des risques et de contrle interne
Lauditeur va tenter dvaluer la politique risque au regard des documents

que peut lui fournir la banque, des entretiens avec les dirigeants. Il est donc
prfrable de pouvoir disposer dlments formaliss pour affirmer lexistence dune telle politique. Cette dernire est elle-mme le fruit de la comprhension, de la mesure et du contrle ralis. On peut ainsi observer
certains comportements types comme viter de rentrer sur tel ou tel march,
rduire ou transfrer un risque par lutilisation de drivs de crdit. Ensuite,
il est ncessaire de fixer les limites au-del desquelles on ne souhaite pas aller
par catgories de risques. Les documents de reporting qui en dcoulent doivent montrer lvolution de lexposition de manire individuelle ou globale.
Apprciation et analyse de chaque risque
Aucun domaine dactivit et aucun type de risque (financier ou non financier) ne doit chapper laudit. La nouveaut est lmergence dun risque de
rputation qui dcoule de lensemble des autres risques. Lestimation reste
assez dlicate et les consquences difficiles valuer. Au-del de lestimation,
lauditeur doit aussi comprendre comment ils sont grs et contrls. Ce travail consiste regarder si les mesures prises par la banque en vue de les minimiser sont efficaces et adquates.
Seule une telle analyse permet de sassurer que les risques sont bien identifis
et correctement reflts dans les comptes annuels. ces trois axes, sajoute
une analyse du respect des conditions dautorisation donnes aux cadres de la
banque et plus gnralement des rgles de comportement.
Groupe Eyrolles
Ainsi, le contrle de tous les risques ncessite un renforcement du contrle

interne. Les tablissements de crdit disposent dsormais dun cadre clair et
prcis des rgles de contrle interne quils doivent respecter.
La conduite dune mission SOX et comparatif CRBF 97-02

Il appartient aux dirigeants de la banque internationale, sous le contrle de la
commission bancaire et de la Securities Exchange Commission, de dfinir et
de mettre en uvre les procdures adaptes la bonne application de la
rglementation et veiller la cohrence des orientations stratgiques quils

auront arrtes.
Lobservation dans deux filiales du groupe a permis de comparer les deux
organisations. En France, le dpartement audit est appel conduire la fois
des missions classiques dans le cadre de la rglementation locale ou des
missions SOX. Au Royaume-Uni, la distinction se fait entre les auditeurs
Global Markets et les testeurs ddis exclusivement aux missions SOX.
Un lment cl de SOX rside dans les tests defficacit. Il sagit en fait dune
application directe de larticle 404 de la loi. Le TOE (Test of efficiency) vrifie
que les contrles internes du reporting financier fonctionnent de faon
empcher ou dtecter des erreurs matrielles dans les rapports financiers.
Celui-ci est conduit par laudit Paris ou les testeurs Londres.
Un tel test constitue lun des outils les plus importants pour laudit interne
afin dvaluer lefficacit des contrles internes selon des critres appropris.
Afin dassurer le maximum de pertinence et de fiabilit, le TOE doit
sappuyer sur des preuves documentes et aboutir une valuation crite sur
lefficacit du contrle interne dans la banque. Ces tests sont conduits suivant
le planning annuel pour assurer la fiabilit des processus de reporting et audel, la fiabilit des tats financiers pour le management et les actionnaires.
On ne peut dcrire ici lensemble des tests et du droulement dune telle
mission, mais le travail avec des auditeurs a permis de dresser un premier
comparatif des difficults et des synergies possibles lies la ncessit de
mettre en uvre deux rfrentiels.
Les difficults de la loi

Au rang des principales difficults, on retrouve plusieurs lments. Ainsi, les
guides daudit SOX posent souvent des problmes dinterprtation. En effet,
tant conus par la maison mre, la description de certains contrles nest
souvent pas adapte la ralit locale. De plus, ces guides comportent une
multitude de contrles trs formels et parfois trs thoriques. Par ailleurs, ces
contrles sajoutent une charge de travail mal vcue surtout par ceux ayant
raliser les contrles permanents. On parle alors de syndrome millefeuille , o lempilage des contrles rend le tout assez indigeste.
Lautre souci pos par SOX est que toutes les oprations sont traites tort de
la mme manire.
Groupe Eyrolles
Tests defficacit
En pratique
Dans le secteur bancaire, la place sest accorde ne pas vrifier les chques mis en dessous de 5 000 euros, car cela cote moins cher de prendre en charge les sinistres que de les prvenir. La saisie et la validation du
chque pourrait ainsi tre confie un junior. Or, la loi SOX exige le
principe des 4 yeux , quelle que soit lopration.
Enfin, les missions SOX cotent cher. En effet, chacune dure en moyenne
trois semaines lorsque la documentation est communique temps par les
oprationnels. Lorsquun test est dfaillant, il faut prvoir nouveau une
quipe pour effectuer les contrles. Laudit peut galement faire appel des
consultants externes, comme dans la filiale anglaise o trois consultants ont
t recruts : un pour la conception des guides daudit, un autre pour la
coordination SOX, enfin un dernier pour lanalyse des risques.
Malgr la lourdeur des contrles imposs par la lgislation SOX, les risques, notamment derreur humaine et de fraude, ne peuvent tre prvenus ni
empchs. Les limites cette loi rsident galement dans la facult de jugement laisse aux auditeurs.
Ncessit dun comparatif
Groupe Eyrolles
Au-del de lapport mthodologique, la loi Sarbanes-Oxley suscite des

rticences son adoption en entreprise du fait du formalisme et de la multitude des contrles quelle impose. Ds lors, il est ncessaire deffectuer
un comparatif car, lvidence, on assiste des doubles contrles non ncessaires. En effet, la surqualit dun dispositif ne conduit pas des apprciations
fondamentalement meilleures. titre dexemple, lobservation des pratiques
amne penser quil y aurait en effet opportunit confier la responsabilit
de certains contrles SOX au contrle permanent.
Ce constat rejoint les recommandations faites par lIfAcI, qui a particip la
conception du cadre de rfrence AMF en France sur le contrle interne,
affirmant quil est ncessaire de tenir compte du rapport cot/bnfice et de
ne pas dvelopper des systmes de contrle inutilement coteux, quitte
accepter un certain niveau de risque.
Par ailleurs, les similitudes avec le CRBF 97-02 conduisent rflchir des
mutualisations de moyens autour de diffrents axes. En effet, ces textes
demandent chaque tablissement de crdit de se doter dune approche

structure du contrle interne, dcline partir des orientations gnrales
des niveaux hirarchiques les plus levs (conseil dadministration, direction
gnrale) jusquau niveau oprationnel. En impliquant davantage les organes
dcisionnels, ils contribuent accrotre la conscience au plus haut niveau des
risques auxquels ltablissement de crdit sexpose. Ainsi, la culture risque
cultive par un rfrentiel fournit un terreau favorable pour adopter lautre.
De plus, larticle 42 du CRBF 97-02 et la section 404 de SOX prvoient

tous deux un rapport annuel sur le contrle interne soumettre respectivement la commission bancaire et la Securities Exchange Commission. En
revanche, lorsque larticle 42 se limite dcrire les conditions dans lesquelles
le contrle interne est effectu, la section 404 exige une valuation de lefficacit du contrle interne. Ce dernier point constitue un complment utile
dans le cadre de la rglementation locale.
Enfin, le CRBF 97-02 et SOX prvoient un reporting au comit daudit.
On peut relever galement des lments de divergences pouvant conduire
des enrichissements mutuels :
lorsque SOX impose une organisation et une vritable mthodologie, le
CRBF 97-02 laisse lentreprise libre de ses moyens ;
lorsque SOX, ne des scandales financiers, se limite la couverture des
risques lis aux tats financiers, le CRBF 97-02 couvre lensemble des
risques auquel peut tre expos un tablissement de crdit ;
lorsque le CRBF impose des contrles continus de lactivit et une correction des carts par le contrle oprationnel, SOX procde par chantillonnage et la correction dcarts ne relve pas de la responsabilit des
testeurs.
En dehors du dernier point, il est peut-tre utile de mener une rflexion sur
le cadrage mthodologique apport par SOX pour amliorer la qualit du
contrle interne la franaise. Mme si la raction premire est le rejet du
formalisme et lapprhension du dispositif comme une contrainte supplmentaire, cette dernire peut se transformer en relle opportunit pour amliorer lvaluation de la scurit des dispositifs.
Groupe Eyrolles
Par ailleurs, SOX et le CRBF 97-02 couvrent tous deux le risque li au traitement des oprations comptables. Cest dans ce domaine que les synergies
doivent tre les plus importantes. Notons en revanche que le CRBF 97-02
va au-del du bilan en intgrant dans son analyse des risques le hors-bilan.
POUR CONCLURE
Groupe Eyrolles
La gestion des risques, ainsi que laudit et le contrle internes, doivent rellement tre
apprhends comme un processus continu dont lapplication doit tre garantie en
permanence. Ce processus doit assurer lidentification des dficiences et la prise de
mesures de correction adquates. Il ne peut sagir dune apprciation fige des
risques un instant donn. Ds lors, lefficacit du dispositif devient une relle source
davantage concurrentiel pour un tablissement. En sus de la vision purement
contrle , la combinaison de ces dispositifs fournit un outil de pilotage ayant
vocation amliorer les pratiques et pas seulement sanctionner. Les tablissements
ayant pris conscience de lopportunit qui leur est offerte auront une longueur
davance.
Chapitre 4
Les difficults de communication lies

la pratique de laudit interne
linternational
PAR CHRISTIAN BERTHEUIL,
consultant
e mtier daudit interne comprend trois facettes essentielles.

La premire est videmment technique : tous les auditeurs internes
appliquent une mthodologie qui leur permet darriver leurs conclusions.
Groupe Eyrolles
La deuxime est relationnelle. En effet, le mtier dauditeur interne suppose des contacts : en face--face avec les collaborateurs des entits audites, mais aussi avec dautres personnes, dans le cadre de leur recherche
dinformation. La diversit des personnes rencontres est, en fonction des
thmes abords et des problmatiques traites, importante : les auditeurs
internes vont rencontrer des membres de la direction gnrale, mais aussi
des collaborateurs tout en bas de la hirarchie. De plus, ces personnes
auront des mtiers et des domaines dexpertise trs divers et varis, souvent
loigns de la formation des auditeurs internes. Pour ajouter aux difficults, les modes de rencontre entre auditeurs internes et audits sont multiples dans le cadre dune mission daudit. Le mode de rencontre le plus
souvent pratiqu est le face--face, souvent dans le bureau de laudit.
Noublions pas que la mthodologie implique aussi la pratique de runions
douverture et de clture, exercices souvent difficiles et combien importants pour la suite des vnements ; dautres rencontres, tels que des ateliers, peuvent aussi tre mises en pratique. Cette facette sera appele
communication orale dans cette contribution.
La troisime facette est celle de reporting (le terme anglo-saxon induit une
notion dcrit et doral que le mot franais de rapport ne comporte pas).
Il sagit de rapporter pour faire agir et, l, lcrit est le support essentiel.
Cette facette sera appele communication crite dans ce chapitre.
Les dveloppements qui suivent ont donc pour objet de montrer la pratique
de la communication orale et de la communication crite dans les activits
daudit interne, den prsenter les difficults et de mettre en exergue leur
multiplication en environnement international.
Ce chapitre abordera, comme corollaire de la communication, les attitudes et
les comportements qui sont, compte tenu des diffrences de culture auxquelles sont confronts les auditeurs internes, sans doute parmi les lments
les plus importants considrer.
Le XXe sicle a vu lvolution de nombreuses techniques de communication

qui ont t en partie lorigine des besoins de communiquer des personnes,
tant sur un plan personnel que professionnel.
Dans lentreprise, les techniques de communication crites et orales se sont
multiplies dans la plupart des mtiers. Il suffit de consulter un catalogue de
formation pour se rendre compte de labondance et de la diversit des offres
en la matire.
Le mtier daudit interne ne fait pas exception la rgle : les normes et les
modalits pratiques dapplication publies par lIIA en tmoignent.
La communication crite et orale applique au mtier

daudit interne
Les auditeurs internes doivent savoir communiquer tant par crit que par
oral. Si, en gnral, il ne reste officiellement que le rapport daudit, il faut se
rappeler que, tout au long de la mission, lauditeur interne a de nombreux
contacts qui ont tous une incidence sur la mission elle-mme et sur son
droulement.
La communication crite constitue le support du travail effectu, elle devient
la mmoire de la mission. Son fond et sa forme sont importants, car cest
sur les crits des auditeurs internes que sont prises des dcisions. Certaines le
sont par des personnes qui, un instant t, en savent beaucoup moins que les
auditeurs internes sur le sujet. Cest notamment le cas des dcisions relatives
aux recommandations souvent nonces par une direction gnrale lgitimement loigne du terrain, do limportance de la qualit des crits.
Groupe Eyrolles
La communication dans les activits daudit interne
Les difficults de communication lies la pratique de laudit interne linternational 117
La communication orale, elle, permet de recueillir et de prciser des informations, dobtenir des audits des explications et des renseignements sur des
points qui ne sont pas toujours formaliss dans les entreprises. Les difficults
du recueil dinformations sont nombreuses :
manque de temps des audits ;
manque de connaissance de la fonction audit interne et de son
fonctionnement ;
image ngative de la fonction ;
audits rticents donner une information plus ou moins confidentielle.
Tous les auditeurs internes ont connu un jour dans leur mtier cette dpense
dnergie pour obtenir un lment dinformation ncessaire connatre un
moment donn.
Cest de ces difficults et des moyens de les viter ou de les surmonter quil
sera question ici. Lemphase sera place sur laugmentation de ces difficults
en contexte international, cest--dire dans un environnement plus ou moins
connu sur le plan de la langue et des comportements.
Les difficults de la communication

Comme nous lavons dit prcdemment, la communication nest facile ni
lcrit, ni loral dans le mtier daudit interne. Quelles sont les principales
difficults rencontres ?
Les difficults de la communication crite

La premire difficult du rdacteur vient de ce quil ncrit pas pour luimme, mais pour un autre, sans connatre toujours ses vritables attentes.
Groupe Eyrolles
Il faudrait dailleurs crire pour dautres au pluriel et cest l, la

deuxime difficult - puisque les lecteurs des crits daudit vont tre plusieurs et vont souvent avoir des attentes et des besoins diffrents. Prenons un
exemple pour illustrer ce propos.
La troisime difficult et pas la moindre est due ce quun crit doit pouvoir tre compris rapidement et facilement par tous ses lecteurs, sans avoir
revenir sur les phrases en raison dune forme inadquate ni sur le raisonnement d un fond mal dvelopp.
Sur ce point, tous les lecteurs partagent la mme attente : pouvoir aller vite
et lire aisment.
En pratique
Si on considre une mission daudit sur la comptabilit, le responsable de
la comptabilit, le directeur financier et le directeur gnral auront des
attentes trs diffrentes. Celles du premier seront trs oprationnelles vis-vis de la mission. Le second souhaitera savoir si les risques essentiels sont
sous contrle et si les rgles sont respectes, alors que le DG aura des
attentes plus larges et beaucoup moins oprationnelles avec un besoin de
dtails moins important que les deux premiers.
Parler avec une autre personne peut sembler simple. L o les choses se compliquent, cest quen communication orale, il existe souvent des obstacles et
des pertes.
Sans entrer dans les dtails, nous savons que les obstacles peuvent provenir de
lmetteur lui-mme (laudit) qui na peut-tre pas sa disposition toute la
capacit souhaite pour exprimer ce quil veut. Ils peuvent aussi provenir du
rcepteur (lauditeur), qui peut ressentir un manque de connaissance du
mtier audit ou de lenvironnement lui-mme (bruit, manque de confort,
etc.). En ce qui concerne les pertes, elles peuvent tre multiples et proviennent du passage de lide sa formulation en mots, puis de lcoute et de la
comprhension.
Enfin, une autre difficult des entretiens daudit vient de la ncessit de retenir ce qui a t dit, donc en gnral de prendre des notes en mme temps
que lon change des paroles : il y a alors un dcalage dans le temps, prjudiciable la communication.
La communication crite au service des auditeurs internes

Nous mettrons ici en vidence les difficults engendres par lexercice de
laudit interne dans un environnement international, aprs avoir voqu les
enjeux et les fondamentaux de la communication crite en audit interne.
Les enjeux de la communication crite en audit interne

crire fait partie intgrante du mtier dauditeur interne. Cest en effet la
faon (sauf pour les entretiens) la plus courante de communiquer avec les
Groupe Eyrolles
Les difficults de la communication orale
audits et avec les mandants de la mission daudit, ainsi que dchanger avec
lquipe daudit (superviseur, chef de mission, etc.) et avec les quipes
dauditeurs internes venir.
crire est aussi la seule faon de laisser des traces (notion de traabilit) la
fois pour laction mettre en uvre et pour le suivi de cette action, mais
aussi pour la reprise des audits futurs dans le cas de missions rcurrentes.
Les crits daudit sont multiples (lettre de mission, compte-rendu dentretien, synthse, rapport, etc.) et tous bass sur lobservation et lanalyse tout au
long de la mission. Ils ne se rsument en aucun cas aux seuls comptes-rendus
dentretiens.
Sil est facile dcrire pour soi, la principale difficult de lcrit professionnel
reste, comme il a t prcis plus haut, de rdiger pour dautres lecteurs, parfois inconnus, en :
comprenant leurs besoins ;
se mettant leur place ;
anticipant les questions quils pourront se poser.
En effet, lauditeur interne est un instant t devenu le spcialiste du domaine
audit. Il a analys les processus et procdures, a men les tests, investigu et
compuls des documents, rencontr les audits et entendu les difficults
quils connaissent et donc matrise fond son sujet. Sil dtient un nombre
important dinformations en tte que nont pas ses futurs lecteurs, il na
dailleurs parfois pas conscience de toutes les informations formelles ou
informelles dont il dispose.
La difficult consiste faire passer lensemble de ses connaissances (ainsi que
dautres messages comme les recommandations) diffrents types de lecteurs
qui nont ni les mmes attentes, ni les mmes besoins, ni les mmes objectifs.
Groupe Eyrolles
Les auditeurs internes doivent donc savoir crire de faon claire, prcise,
concise, neutre et objective.
crire clairement permet dtre compris de tous. ce niveau, il faut savoir se
mettre la porte de tous les lecteurs et se poser notamment la question des
termes techniques et du jargon professionnel ; cela est particulirement vrai
sur certains thmes daudit comme linformatique, la finance ou les questions juridiques. Lauditeur devra employer des termes simples ou dfinir de
faon simple les termes employs.
La prcision, elle, vise ne pas susciter de questions inutiles. Le langage de
laudit interne ne doit pas souffrir dimprcision qui amne les lecteurs
poser ou se poser des questions sur le sens de ce qui est crit. Notons que
limprcision peut en outre amener les lecteurs douter de ce qui est crit,
voire prendre de mauvaises dcisions.
La neutralit assure de ne pas devenir juge du domaine audit. Lobjectif

dune mission daudit est dassurer la conformit (audit rglementaire) ou la
couverture satisfaisante des risques (audit oprationnel), mais en aucun cas de
porter un jugement sur les personnes. Les auditeurs internes travaillent sur
les processus, les procdures, les organisations, les structures, etc., mais jamais
sur les personnes.
Enfin, rdiger objectivement permet de ne pas prendre parti. Lcrit est descriptif et factuel, ne donne lopinion de lauditeur que sur les actions et leur
rsultat, ne doit pas inclure de notion de bien ou de mal , mais uniquement valuer ce qui est par rapport ce qui devrait tre.
Il est donc impratif, tant pour la facilit dcrire que pour celle dtre lu, de
disposer dune mthodologie dcriture, qui prsente deux objectifs :
aider le rdacteur dans son travail afin dy investir le moins de temps possible, lui permettant notamment de finaliser un rapport de mission dans
les meilleurs dlais ;
aider le rdacteur sortir de ce seul rle, se mettre la place de ses lecteurs et ainsi de comprendre et donc de rpondre leurs besoins et leurs
attentes.
Les fondamentaux de la communication crite

pour les auditeurs internes
Dune grande simplicit, la mthodologie se compose de quatre phases, dont
deux de rflexion pralables la rdaction proprement dite. Trop souvent (et
la micro-informatique na pas amlior les choses), le rdacteur se lance en
pensant que la rvision de son texte sera facile. Cest l une erreur, car toute
rvision prend du temps et entrane des modifications en chane. En outre, si
elle est faite la demande dune tierce personne, cela peut provoquer une
rticence de lauteur, donc forcment de la tension.
Groupe Eyrolles
Quant lcriture concise, elle permet de ne pas gnrer de perte de temps.

Les diffrents lecteurs ne disposent pas tous du mme temps pour lire les rapports et dautres crits daudit. La concision permet, sans mot ni priphrase,
de tout crire.
Premire tape
Il sagit dune tape de rflexion. Cest galement une phase de marketing,
en ce sens o elle consiste considrer les lecteurs comme des clients et
lcrit comme un produit destin satisfaire un besoin client. Il convient
alors de se poser les questions suivantes par rapport aux lecteurs (les clients) :
Qui sont les clients/lecteurs ?
Quels sont leurs vritables attentes et leurs besoins rels par rapport au
produit (document crit) ?
Quelle est leur connaissance du sujet ? Sont-ils des experts ou au

contraire des nophytes, voire des ignorants du sujet ?
Quel est leur intrt pour le sujet ? Vont-ils tre passionns, car vritablement partie prenante dans le sujet trait ou au contraire simplement intresss sans tre vraiment concerns ?
Quel est leur temps disponible pour lire le document ? Vont-ils en faire
une lecture assidue et y passer un temps important ou une lecture
rapide, voire partielle ou trs partielle ?
ce niveau, il est important de prendre conscience de la multiplicit des

clients et donc de leur besoin, ce qui a pour consquence la mise disposition non pas dun seul, mais de plusieurs produits. En ralit, il conviendra
de rdiger un document dit plusieurs niveaux de lecture , permettant de
satisfaire toutes les attentes des clients/lecteurs.
Une fois les lecteurs identifis, il apparat essentiel de se poser la question de
lobjectif du document qui peut notamment servir :
informer, sensibiliser, faire prendre conscience ;
alerter, prvenir dun risque ;
faire dcider, faire agir ;
rpondre une question ;
faire voluer.
Groupe Eyrolles
Deuxime tape
Cest l aussi une tape de rflexion, pouvant cependant donner lieu une
partie dcrit en fonction de la longueur et de la complexit du sujet. Il
sagit, ce niveau, de construire le processus rdactionnel pour ladapter en
dterminant les messages essentiels faire passer, puis les messages annexes.
Par message , il faut entendre les points essentiels sur lesquels nous souhaitons attirer lattention de nos lecteurs. En fonction de ces messages, il sagit
ensuite tout dabord dorganiser les ides les unes par rapport aux autres :
quelles sont les ides fortes, essentielles ?
Il convient aussi de procder un tri et une hirarchisation des
informations : quelles sont les informations importantes qui vont soutenir et
argumenter le message ? Quelles sont celles de moindre importance ?
Troisime tape
La troisime phase consiste passer la rdaction qui peut, en fonction de la
complexit de lcrit et des capacits rdactionnelles de chaque auditeur
interne, ncessiter un projet avant rdaction dfinitive.
ce niveau, il est important dentretenir une bonne communication dans
lquipe : en effet, un des gains de temps pour lquipe daudit consiste
faire bien ds le premier jet. Il convient donc de connatre le style souhait par le responsable de la mission : souhaite-t-il plutt un style dvelopp
ou lapidaire ? Jusqu quel niveau de dtail veut-il aller ? Etc. Noublions pas,
comme nous lavons soulign prcdemment, que toute reprise dcrit est
longue et mentalement pnible.
La rdaction va porter sur le fond et sur la forme. Des normes rdactionnelles et de prsentation, quil convient de respecter en plus des standards
dcriture, peuvent exister dans les organisations.
Le fond, qui concerne le message et les ides, constitue la partie essentielle,
car cest sur cette base que vont tre prises les dcisions, notamment de mise
en uvre ou non des recommandations.
La forme, elle, concerne la prsentation, la mise en page, la typographie, etc.
Elle est trs lie au fond en ce sens o, si la forme nest pas bonne, le lecteur
ne sattache qu elle et ne se concentre plus sur le fond. Sans la forme, le
fond nest pas lu, sans le fond, la forme ne sert rien.
Quatrime tape
Le processus rdactionnel ne sachve quaprs une quatrime phase, dite de
relecture, qui a pour objectif de livrer un produit totalement fini. La relec-
Groupe Eyrolles
Enfin, il faut concevoir un plan dtaill afin de permettre lenchanement

logique des ides et le passage facile (notion de fil conducteur) dune ide
une autre. En dautres termes, il sagit de guider nos lecteurs, de leur faciliter
la tche, de les aider lire.
ture suit des rgles prcises : elle doit tre organise par objectif et centre sur
la nature des erreurs supprimer, en fonction des difficults particulires que
se connat le rdacteur.
En pratique
Deux relectures au moins sont ncessaires :
une sur le fond, par exemple centre sur les liens logiques entre les diffrentes parties du raisonnement, sur la prsence dun fil conducteur, le choix
et la place des informations rapportes, etc. ;
une autre sur la forme, par exemple focalise sur les rptitions, la longueur des phrases, la ponctuation, etc.
Les difficults lies au contexte international

Elles concernent tous les auditeurs internes qui ne sont pas totalement bilingues et qui crivent rgulirement dans une langue trangre.
La premire difficult vient de la prise de note. Lors dun entretien, il nest
pas si facile de prendre des notes dans sa langue maternelle et de sinventer
une criture abrge afin de ne pas dtriorer la qualit de la communication
avec laudit. Il est donc dautant plus difficile de prendre des notes surtout
facilement et efficacement rutilisables dans une autre langue que la sienne,
et ce, quelle que soit la matrise de la langue. Cela passe notamment par la
mise en place et lapprentissage dune criture rapide, dun ensemble dabrviations et de symboles.
Groupe Eyrolles
La deuxime difficult est due lcriture du rapport lui-mme, en particulier du vocabulaire et donc de la prcision des mots employs. Il nest pas
toujours facile de traduire prcisment en mots sa pense dans sa propre langue. Ce problme se complexifie dans une langue trangre. En effet, mme
si nous possdons bien cet idiome, notre prcision savrera rarement aussi
bonne que dans notre langue maternelle.
La troisime difficult toujours dans lcriture du rapport sexplique par
la grammaire et la syntaxe dans une langue trangre. Si cette dernire ne
nous est pas parfaitement connue, notre faon de rdiger ne sera pas optimale
et la forme de notre crit obrera le fond.
La dernire difficult provient de la rcriture par une tierce personne qui va

plutt travailler sur la forme de notre crit et parfois en modifier sans en
avoir lintention la forme.
Bien videmment, les difficults augmentent si plusieurs langues sont utilises au cours de la mission. Cest par exemple le cas lorsquune langue vhicule commun de communication est utilise alors quelle nest ni la langue
maternelle des auditeurs internes, ni celle des audits.
La communication orale au service des auditeurs

Nous mettrons en vidence les difficults engendres par lexercice de laudit
interne dans un environnement international aprs avoir voqu les enjeux
et les fondamentaux de la communication orale en audit interne.
Les enjeux de la communication orale en audit

Pour simplifier, nous dfinirons la communication orale en audit interne
comme tout change entre auditeur et audit, que ce soit en groupe runions douverture et de clture ou en face--face entretiens daudit.
Sans que cela se vrifie pour toutes les organisations ni pour toutes les personnes audites, il existe un certain nombre dimages ngatives de la fonction
audit interne qui nuisent la qualit de la communication orale entre auditeurs et audits :
lespion : lauditeur interne est considr comme celui qui va noter sans
rien dire et rapporter quelquun dautre, sans que cela soit bien prcis
dans la tte de laudit ;
le reprsentant de la direction gnrale : lauditeur interne est considr
comme le missi dominici de la DG, envoy pour contrler, vrifier ;
le procdurier : lauditeur interne est considr comme celui qui veut
tout prix que soit respecte une procdure, mme si celle-ci ne convient
pas ou si une solution plus oprationnelle au traitement dune donne a
t trouve ;
le non-spcialiste : lauditeur interne est considr comme une personne
ne connaissant pas le travail effectu par lentit audite et donc ne pouvant rien lui apporter ;
Groupe Eyrolles
Et que dire de la situation o aucune langue commune nexiste entre auditeurs

internes et audits et quil est alors ncessaire de faire appel un interprte ?
le chronophage : lauditeur interne est considr comme un preneur de

temps, sans retour sur le temps pris et la mission daudit est ressentie
comme une perte de temps par laudit.
Ces images (et bien dautres sans doute) sont dues essentiellement deux facteurs. Tout dabord, il sagit de la mconnaissance de la fonction. En effet,
peu de collaborateurs savent dfinir la fonction audit interne et la faon dont
est mene une mission daudit.
Le second facteur est la mauvaise communication des auditeurs. Sachons

faire notre mea culpa. Nombreux sont les auditeurs internes qui ne pensent
pas ncessaire ou qui ne prennent pas le temps de communiquer sur leur rle
et leur mission, ce qui laisse planer un doute dans la tte des audits qui souvent nosent pas demander de prcisions ni poser de questions.
Groupe Eyrolles
Malgr cela, les images positives de laudit existent, mais sont beaucoup
moins souvent cites par les audits. On peut dire que laudit apporte dans
une entit :
la prise de recul : souvent, les oprationnels sont trs prs des oprations
et ne prennent pas de recul (organisation, procdures, structures), ce
que savent faire les auditeurs ;
la vision neuve et impartiale : les auditeurs ntant pas des oprationnels
de la fonction audite, ils ont une vision non oriente par des habitudes
de fonctionnement et dnue de partialit, leur permettant de remettre
en cause des modes opratoires ;
la vision globale : les auditeurs voient lensemble des processus et ne se
limitent donc pas, comme cest le cas pour bien des oprationnels, une
partie du fonctionnement dune entit ;
le transfert de bonnes pratiques : les auditeurs internes analysent de nombreux processus et peuvent transfrer des pratiques rencontres dans
dautres entits, des faons de faire ou de traiter des donnes ;
le temps et la mthodologie daudit : les auditeurs internes suivent une
mthodologie danalyse qui leur permet de tout voir et de tout analyser,
en prenant le temps, ce que ne peuvent pas faire les oprationnels, trop
souvent bloqus par des chances.
Lobjectif de la communication orale des auditeurs internes va consister
dvelopper les images positives et amoindrir les images ngatives de faon
amliorer la qualit et lefficacit des changes avec les audits.
Les fondamentaux de la communication orale pour les auditeurs

Une des faons de pallier ces images ngatives et de renforcer les images positives consiste travailler une meilleure communication vis--vis des audits. Nous partons ici du principe que la qualit de la communication a une
incidence importante sur le rsultat.
Trois outils de base
Ainsi, la communication verbale dsigne les mots que nous utilisons. Certains termes ou expressions nuisent au dialogue et peuvent entraner chez
linterlocuteur mfiance, apprhension, agressivit ou lassitude Ce sont l
des ractions contraires laction. Il est donc ncessaire de penser et de peser
les mots avant de les utiliser.
La communication paraverbale, elle, passe par la voix, qui constitue un instrument de communication dont il faut savoir jouer, notamment en runion.
On distingue en gnral les caractristiques suivantes dans la voix (qui peuvent toutes tre travailles) :
la diction ou la faon de dire, qui comprend larticulation et la
prononciation ;
la modulation ou la faon dalterner les parties parles de la phrase et les
silences ;
le dbit ou la vitesse dmission des mots (un dbit trop important nuit
la comprhension, mais un dbit trop lent entrane une perte dintrt) ;
le volume ou amplitude du son : il est plus ou moins fort suivant la quantit dair utilise par les poumons (un volume trop faible nuit la comprhension, un volume trop fort est agressif).
Enfin, considrons la communication non verbale. En effet, la communication ne passe pas que par la parole et par la voix, mais aussi par dautres
moyens comme les expressions corporelles et les attitudes. Ainsi, les principaux lments de communication non verbale sont : les yeux, le visage, les
mains, les silences et lespace.
Les chiffres suivants peuvent surprendre, mais ils sont unanimement admis :
nous communiquons environ 55 % par le mode non verbal, 38 % de
faon paraverbale et 7 % verbalement. Cela peut se comprendre, puisque
Groupe Eyrolles
La communication orale passe par de nombreux outils et techniques, dont

trois trs basiques, qui peuvent tre facilement travaills.
dans toute situation de prsence nous sommes dabord vus, puis entendus et
enfin couts.
Des techniques spcifiques

Au-del de notre capacit communiquer par nos mots, notre voix et notre
corps, nous disposons en tant quauditeurs internes de techniques et doutils
spcifiques aux diffrentes situations rencontres sur le terrain.
Sans les dtailler tous ici, nous souhaitons en exposer quelques-uns auxquels
tous les auditeurs devraient tre forms. Ainsi, les techniques de questionnement permettent de chercher les rponses des questions, tout en maintenant condition dutiliser le bon type de question au bon moment une
relation positive.
Les signes de reconnaissance, eux, permettent lauditeur dabord de lier une
relation positive avec un audit, puis en cours dentretien de faciliter et de
conforter lexpression de ce dernier.
Quant lcoute active, elle permet de se ddier compltement au discours
de laudit sans tre pollu par des lments extrieurs ou par des filtres
personnels et professionnels.
La reformulation constitue une double assurance pour lauditeur davoir
compris ce qui a t dit, et pour laudit davoir t entendu et compris.
De son ct, la synthse autorise un rapide rsum des points essentiels et de
sassurer que rien na t omis dans la prise de notes.
Enfin, grce la boussole du langage, il est possible daller au-del des mots,
en veillant ce que le non-dit soit exprim. Il faut aussi voquer ici des styles
dinterviews pouvant tre adapts aux comportements des audits et aux circonstances. Lun des matres mots en communication pour les auditeurs
internes est en effet de savoir sadapter aux audits.
Groupe Eyrolles
Il convient galement de travailler en fonction des comportements des audits. Si la trs grande majorit des entretiens daudit se passent bien, certains
comportements sont trs polluants par rapport lefficacit et donc au rsultat.
Arrtons l cette liste. Cependant, il importe de savoir quil existe ici aussi
des moyens et des techniques pour faire face ces situations qui peuvent
avoir deux consquences si nous ny prenons pas garde. La premire consquence rside dans la perte dinformation, de temps et dnergie. En effet, le
temps et lnergie passs lutter avec laudit ne sont pas consacrs au
dveloppement dun entretien constructif. La deuxime consquence est un
risque de perte dobjectivit : sommes-nous tout fait objectifs dans notre

reporting dun entretien qui se passe mal ?
En pratique
Qui na pas un jour rencontr un hyperbavard qui noie des informations
importantes sous un flot de paroles ayant tendance faire faiblir notre
attention ?
Qui na pas un jour rencontr un audit colreux qui semporte sans retenue et sans que nous layons vu venir ?
Qui na pas un jour rencontr un audit dstabilisant qui joue la montre
afin dviter les questions ?
Lexercice de la transparence
Au-del des outils et des techniques, lexercice de la transparence permet
aux auditeurs internes de briser les barrires et de favoriser lexpression
des audits. Cet exercice de transparence passe par plusieurs attitudes de
communication.
En premier lieu, il est lgitime que les audits connaissent la signification de
la fonction daudit interne puisquils vont participer son fonctionnement. Il
est donc ncessaire que chaque auditeur puisse la dfinir en termes adapts
ses audits, bien videmment sans utiliser notre jargon dauditeurs. Imaginez la tte dun audit lambda qui lon dfinit la fonction comme tant
lassurance de lexistence et de lefficacit des contrles internes ou, en
dautres termes, lassurance que les risques sont under control . Les auditeurs
internes doivent disposer dune prsentation matrialise ou non de
laudit interne, naturellement la mme pour tous.
Ensuite, il est normal que les audits connaissent les objectifs de la mission.
Ils vont passer du temps nous permettre de nous assurer de la gestion des
risques et nous montrer noublions pas que ce sont eux qui connaissent le
mieux leur travail l o se situent les points faibles du systme. Cette
Groupe Eyrolles
Qui na pas un jour rencontr un audit dviant qui rpond ct de

la question et finit par nous faire douter de notre qualit de
questionnement ?
transparence leur permettra aussi de nous apporter en confiance les lments

ncessaires pour effectuer la mission.
En outre, il relve de la pure politesse quils sachent un minimum de choses
sur nous. Ce dernier point permet aussi de demander laudit de se prsenter et donc aux deux parties de commencer une relation positive qui va permettre des changes plus libres et plus efficaces.
Enfin, prsenter une vision du futur de la mission aide donner confiance.
Elle permet aux audits de savoir ce qui se passera au-del du travail de terrain, seule partie de la mission quils verront.
Ces quatre exercices de transparence peuvent tre mens diffrentes tapes
de la mission. Il est clair que la runion douverture constitue un moment
privilgi pour cela. Cependant, noublions pas que toutes les personnes
interviewes ne sont pas prsentes cette runion. Avant de commencer un
entretien, sachons donc nous rappeler qui a obtenu ou pas telle information.
Les difficults lies au contexte international

La difficult essentielle provient de la langue trangre dans laquelle se
droulent les entretiens et les runions. L encore, il faut se mfier et sassurer
que la communication soit bien passe, quitte sur utiliser des outils
comme la reformulation.
Si les efforts peuvent venir de la part des audits, ils doivent tre principalement fournis par les auditeurs, qui doivent tout mettre en uvre pour viter
la barrire de la langue et user de la formation linguistique et de lentranement la prise de parole.
Il convient notamment de travailler sur la prcision du langage, donc sur le
vocabulaire.
Groupe Eyrolles
En cas dinterprte interpos, il est difficile de pouvoir faire autre chose que
confiance. Cependant, lobservation visuelle des ractions des interlocuteurs
peut servir reprer des signes de non-comprhension ou de surprise chez
les audits, dont il faudra essayer dobtenir la signification via linterprte.
Le comportement comme vhicule de communication

Nous mettrons ici en vidence les piges linternational aprs avoir voqu
linduction rciproque des comportements et les fondamentaux du comportement.
Linduction rciproque des comportements

lment primordial de la communication, notre comportement va en partie
induire celui des audits. Soyons aussi conscients que, si nous ny faisons pas
attention, le comportement des audits peut aussi influer sur notre comportement, quelquefois de faon ngative.
Les fondamentaux du comportement pour les auditeurs internes
Le premier sintitule effet de halo , qui veut que nous soyons capables
dimaginer la personnalit de quelquun partir de son allure physique.
Cette premire impression dautrui se transforme souvent en un premier
jugement, en un prjug son gard. Si, en tant quauditeur, nous savons
nous abstraire de cela, faisons attention au fait que nos interlocuteurs ne
savent peut-tre pas sen abstraire, ce qui peut les amener dvelopper un
ressenti ngatif notre gard, qui a un effet dmultiplicateur, pour peu que
leur image de la fonction audit interne soit elle aussi ngative.
Le deuxime lment se nomme effet Pygmalion et induit quune personne se conduise comme nous lattendons delle. Ainsi, si nous sommes
persuads quune personne va dissimuler des informations, nous serons suspicieux et notre interlocuteur va le ressentir. Il va alors se mfier et exercer
une certaine rtention dinformation.
Ajouts aux outils et aux techniques de communication orale et la pratique
de la transparence, ces deux lments permettent, en principe, de faire face
toute situation daudit.
Tous ces outils nous permettent, non pas de changer notre personnalit, ce
qui serait une erreur, mais de travailler sur nos attitudes et donc de piloter
notre comportement en fonction de celui des audits, et ce dans un but
defficacit de linformation recueillie.
Si nous ajoutons, et cela se travaille aussi, une bonne dose daffirmation de
soi et de capacit exprimer notre demande en toutes circonstances de faon
pose et directe, nous avons en main tout ce quil faut pour russir notre mission sur le terrain.
Il reste cependant nous assurer que nos attitudes nengendrent pas de quiproquo auprs de nos interlocuteurs. En effet, nous sommes souvent entra-
Groupe Eyrolles
Deux lments doivent rester lesprit de tous les auditeurs internes lors des
missions menes sur le terrain.
ns piloter notre comportement en environnement connu, mais quen est-il

en environnement inconnu ou mal connu ?
Les piges linternational
Nous avons voqu plus haut les piges de la langue, mais ceux du comportement se produisent bien plus frquemment et ont souvent des consquences plus importantes, pour deux raisons.
on peut toujours revenir sur un mot et le remplacer par un autre aprs
discussion ;
une erreur de comportement peut nous chapper et, mme si lon sen
aperoit, il est plus difficile de revenir en arrire.
Quatre paramtres
Les ouvrages sur le comportement en milieu multiculturel sont nombreux.
Une rapide recherche sur Internet permet de sen apercevoir.
Ainsi, le psychologue nerlandais Geert Hofstede (1994), se fondant sur
lanalyse statistique du comportement au travail des collaborateurs denviron
soixante-dix filiales dun grand groupe international rparties dans le monde
entier, dduit un certain nombre de postulats caractrisant les populations
rencontres. Selon lui, quatre paramtres essentiels ont un impact sur notre
comportement au travail et sur notre relation aux autres.
Lindice de distance hirarchique
Ce paramtre, dfini comme le degr dingalit attendu et accept par les
personnes, va se traduire pour les auditeurs internes par la facilit avoir
accs telle ou telle personne en fonction de son niveau hirarchique.
Groupe Eyrolles
En pratique
Un exemple rcemment vcu en tant que formateur a permis de constater
que dans un grand groupe franais, seul le chef de mission peut avoir
accs un niveau hirarchique donn. Cela signifie que lui seul peut interviewer tel niveau hirarchique et non les auditeurs internes, a fortiori sils
sont juniors.
Le degr dindividualisme ou de collectivisme

Notez que ce dernier mot na bien videmment ici rien voir avec sa signification politique traditionnelle.
Ce paramtre se dfinit comme le rle de lindividu et du groupe dans la
socit. Dans une socit individualiste, les personnes seront plus tournes
vers elles-mmes alors que dans un environnement collectiviste, elles seront
plus tournes vers le groupe et auront tendance seffacer au profit de lintrt de ce dernier.
Pour avoir effectu des missions daudit en Allemagne dans des conditions de
communication difficiles (langue non parle et utilisation dun interprte),
nous avons eu, lpoque, le sentiment dtre plus aid par les audits que
nous ne laurions t en France.
Le degr de masculinit ou de fminit
Il dsigne le rle social attribu chaque sexe et dont les valeurs associes au
travail sont diffrentes. Si les valeurs masculines seront lavancement, le challenge, la rmunration ou la reconnaissance, celles fminines seront la qualit
relationnelle, la coopration, la scurit de lemploi, etc.
Pour les auditeurs internes, cela se traduira par la qualit de la relation avec
les groupes rencontrs, notamment dans la coopration et dans la facilit
obtenir des informations et des explications sur les tches effectues.
Lindice de contrle dincertitude
Ce dernier paramtre correspond lexpression du niveau danxit existant
dans une socit donne face un avenir incertain. Le degr de contrle
dincertitude dun pays mesure donc le degr dinquitude de ses habitants
face aux situations inconnues ou incertaines. Ce sentiment sexprime, entre
autres, par le stress et la ncessit de prvisibilit : un besoin de rgles, crites
ou non.
Pour les auditeurs internes, cela se traduira par la forte ou faible existence de
rgles et de procdures et de leur plus ou moins grande formalisation.
Peut-on dduire de ces quelques lignes quune typologie peut tre tablie et
que lon peut programmer son propre comportement de telle ou telle faon
Groupe Eyrolles
Ce paramtre va se traduire pour les auditeurs internes dans la facilit quils

auront obtenir de linformation en fonction de lacceptation plus ou moins
forte des collaborateurs une fonction de lentreprise diffrente de la leur.
avant daller faire une mission daudit dans tel ou tel pays ? Certainement pas,
mais cela peut nous aider comprendre et accepter certains comportements qui ne nous sont pas familiers. Il reste que, par dfinition, une personne est unique et que son comportement le sera aussi. Donc, si lon peut
prvoir un certain nombre de choses, il faudra rester adaptable et ragir au
cas par cas.
En pratique
En France, pays fort besoin de contrle de lincertitude, les procdures

sont souvent nombreuses et documentes, tandis que dans dautres pays, il
est plus difficile de trouver des procdures crites, voire des procdures
tout court !
Quelques exemples
Les exemples qui suivent aident illustrer cette trs courte analyse des diffrences de comportement.
Sil est normal en France de se serrer la main en se rencontrant, il nen va pas
de mme dans certains pays anglo-saxons dans lesquels, en revanche,
lemploi du prnom est rapide et courant.
Par ailleurs, si se regarder en face est courant et recommand lors dun entretien daudit en Europe, il nen va pas de mme dans certains pays dAfrique
o, notamment en cas dcart dge et/ou de niveau hirarchique entre
lauditeur interne et laudit, il convient de ne pas trop regarder son interlocuteur dans les yeux.
Groupe Eyrolles
Et que dire de la distance entre deux personnes qui se parlent debout ? Les
Anglo-Saxons vont garder une distance respectable , alors que les Brsiliens seront trs proches lun de lautre, un point qui peut surprendre un
Europen.
Quant la tenue vestimentaire, elle peut aussi surprendre nos interlocuteurs.
Sans aller chercher des vtements de facture fort diffrente, il est vident que
la mode franaise et celle dAmricaine du Nord sont bien diffrentes et que,
quelle que soit notre pratique de la langue dHemingway, il sera difficile de
ne pas ressembler un Frenchie en entrant dans un bureau.
Pour leur part, les contextes politiques entre deux pays peuvent aussi un
moment donn compliquer les choses : ce nest plus lauditeur interne que
lon voit entrer, mais la personne de telle ou telle nationalit, reprsentant
telle ou telle position politique de son pays.
voquons aussi ici la notion de temps, qui ne semble pas tre la mme pour
tous. Le respect des horaires dbut dune runion de travail par exemple
ne semble pas avoir la mme signification dans tous les pays
Enfin, encore un mot sur les religions, qui ont aussi une incidence sur les
horaires absence des personnes aux heures de prire ou imposent de ne
pas commencer un tour de table du mauvais ct .
POUR CONCLURE
Alors que faut-il faire ? Doit-on se dire que les missions daudit interne ne peuvent
avoir lieu quen pays connu ou quil faut des quipes dauditeurs internes dans
chaque pays et quils nen sortent pas ?
Peut-tre vaut-il mieux disposer dquipes internationales et en tout tat de cause
adaptables aux diffrents contextes. Encore faut-il que, pour sadapter, les auditeurs
internes sachent comment procder.
La connaissance des us et les coutumes du pays dans lequel nous travaillons est
indispensable pour adopter un comportement et une communication positive
lgard de nos audits : pour cela, il convient dinvestir un peu de temps pour
apprendre, comprendre et accepter les diffrences.
Ensuite, il faut possder un certain nombre doutils et de techniques de
communication afin de communiquer en toutes circonstances. Si ces techniques ne
sont pas toujours faciles ni simples mettre en uvre, elles sapprennent.
Enfin, il est ncessaire de travailler un minimum sur soi pour viter des ractions bien
spontanes qui pourraient choquer ou froisser.
Sil fallait rsumer ces quelques lignes par un seul mot, peut-tre celui qui viendrait
lesprit serait adaptabilit.
Groupe Eyrolles
De plus, il est possible de compliquer les choses en ajoutant, dans certains

pays, la notion de relation homme/femme qui peut fortement diffrer de ce
quelle est sur notre continent et induire des situations quelque peu tendues,
voire conflictuelles.
Partie II
La contribution de laudit interne
au processus de gouvernance
de lentreprise
Chapitre 5
Lobjectivit de lvaluation
de la corporate governance
par laudit interne
PAR CHRISTOPHE GODOWSKI,
Matre de Confrences lInstitut dAdministration des

Entreprises (IAE) de lUniversit Franois-Rabelais
de Tours
objet de ce chapitre est dexpliciter le ou les rles de la fonction daudit

interne dans le processus de corporate governance. Il nest pas rare de relever dans de nombreuses sources bibliographiques que le processus global
daudit, auquel la fonction daudit participe, constitue un mcanisme de
rgulation du comportement des parties prenantes dans leurs relations avec la
firme. Dans le mme temps, les normes internationales pour la pratique professionnelle de laudit interne donnent pour mission la fonction daudit
interne dvaluer le processus de gouvernement dentreprise et de formuler
les recommandations appropries en vue de son amlioration (article 2130).
Au regard de ces deux lments, il apparat que laudit est la fois juge et
partie dans le processus de corporate governance. La question sous-jacente est
alors de savoir si les deux missions sont finalement conciliables. Lobjectivit
du jugement de lauditeur interne sur le processus de corporate governance ne
risque-t-elle pas dtre remise en cause par une participation active ce
mme processus ? La position dfendue est que les deux rles sont conciliables pour la fonction daudit, la condition de rattacher celle-ci un comit
daudit. Se pose alors la question de la nature du rattachement de la fonction
daudit interne au comit, rattachement seulement fonctionnel ou
hirarchique ?
Groupe Eyrolles
138 La contribution de laudit interne au processus de gouvernance de lentreprise
Laudit interne comme mcanisme

de corporate governance
Dfinition et mcanismes de corporate governance

Pour tenter de dfinir ce concept et relativement la distinction ralise par
Charreaux (2004) des thories micro et macro de la gouvernance, le positionnement micro sera privilgi. Les thories micro prsentent lavantage
de se focaliser sur lentreprise et le dirigeant en faisant abstraction des spcificits institutionnelles nationales propres une approche macro2. Les thories
micro peuvent tre scindes en deux grands courants : le courant disciplinaire et le courant cognitif. Chacun deux renvoie une dfinition spcifique du concept de corporate governance, permettant de rendre compte des
nouvelles dimensions de laudit interne (Renard, 2005).
Le courant disciplinaire de la gouvernance

Lorigine du concept de corporate governance remonte aux travaux de Berle et
Means (1932). Ces auteurs ont mis en vidence lexistence dune entreprise
managriale se caractrisant par une dissociation des fonctions de direction et
de proprit. Le financement de la phase de croissance des entreprises indus1. Il existe un dbat sur la traduction de lexpression corporate governance. Certains prconisent lutilisation des termes gouvernance de lentreprise , alors que dautres prfrent le vocable de gouvernement dentreprise , au motif quil ne sagit pas
uniquement dun problme de partage des pouvoirs et des responsabilits autour de la
finance. Nous adopterons dans la suite du texte indiffremment les expressions corporate
governance, gouvernance dentreprise et gouvernement de lentreprise .
2. Les thories macro se donnent pour objectif de justifier de la coexistence de plusieurs
systmes nationaux de gouvernance (SNG) et den tudier le possible processus de
convergence vers un modle suprieur.
Groupe Eyrolles
Lapprhension de la fonction daudit interne comme mcanisme de corporate

governance ncessite de dfinir ce concept. Les divergences existantes concernant la traduction franaise de cette expression illustrent les difficults pour
dlimiter et dfinir le concept1. Il a donc sembl opportun de revenir aux
sources du thme au travers des travaux de Berle et Means (1932). Ce travail,
pour circonscrire le concept de corporate governance, permet, en parallle des
dfinitions de laudit interne, de percevoir cette fonction comme un mcanisme de corporate governance en dmontrant quelle se donne pour double
mission de mettre sous contrle lorganisation et daider au management.
Lobjectivit de lvaluation de la corporate governance 139
trielles se ralisant par appel public lpargne, le capital sest retrouv dilu
entre diffrentes mains peu concernes pour exercer des fonctions de direction au sein de la structure. Les nombreux propritaires ont donc t dans
lobligation de mandater des personnes pour grer lentreprise. En prenant
appui sur cette reprsentation de la firme, un premier champ apparat sous la
dnomination de vision actionnariale de la gouvernance de lentreprise. Les
critiques ont contribu faire merger une seconde approche rpondant
une vision partenariale de lentreprise.
La vision actionnariale de la gouvernance
Groupe Eyrolles
Lentreprise est gre par des dirigeants mandats par les propritaires (les
actionnaires ou shareholders) dans le but de maximiser la rente que ces derniers pourraient en retirer. Les dirigeants peuvent tre conduits adopter un
comportement dviant de lobjectif de maximisation de la valeur de lentreprise au profit des actionnaires. Cette hypothse dpend de lopportunisme
du dirigeant par rapport au contexte gnral. Le fait de se retrouver conjointement au cur du processus de dcision, de dvelopper des actions difficilement observables par les actionnaires et dvoluer dans une situation de
contrat incomplet peut conduire les dirigeants prendre des dcisions pnalisant la performance globale de lentreprise. Les dcisions prises par les dirigeants auraient plus pour objectif de senraciner au sein de lorganisation que
de maximiser la rente au profit des propritaires. Shleifer et Vishny (1989)
assimilent cette stratgie denracinement au choix dinvestissements spcifiques (investissements pas forcment rentables mais en relation directe avec le
type de formation ou les expriences des dirigeants) pour devenir indispensable au sein de la structure et grer progressivement lentreprise de manire
indpendante. Lobjectif daccroissement de leur latitude managriale peut
galement servir une stratgie de carririsme externe, cest--dire un accroissement
de sa valeur sur le march du travail (Finet, 2005). Mme sil est possible certains gards de considrer la stratgie denracinement de manire positive, eu
gard au cycle de vie du dirigeant au sein de lentreprise1 (Paquerot, 1996),
des mcanismes doivent tre mis en place pour rguler ces comportements
opportunistes.
1. Le cycle de vie des dirigeants comprend trois phases : une phase de valorisation, une
phase de rduction des moyens de contrle et une phase daugmentation de la
consommation. Lors de la premire phase les dcisions prises seront ncessairement en
phase avec les attentes des actionnaires.
La gouvernance de lentreprise consiste en la mise en place de dispositifs

organisationnels par lesquels les actionnaires sont susceptibles dexercer un
contrle sur le processus de dcisions/actions des dirigeants. La latitude
managriale des dirigeants ainsi contrainte permet des dcisions/actions ne
visant dautres buts que la seule maximisation du retour sur investissement
des actionnaires. Les processus de gouvernance quivalent alors aux systmes
de rgulation du comportement des dirigeants de lentreprise et de dfinition des rgles du jeu managrial (Charreaux, 2004). Lapproche actionnariale peut tre tendue dautres sources de conflits, comme celui
dactionnaires cranciers ou encore plus rcemment le conflit actionnaires
majoritaires/actionnaires minoritaires. Le point commun entre tous ces
conflits est le rle de scurisation de linvestissement financier jou par les
dispositifs de gouvernance (Shleifer et Vishny, 1997).
Ce modle actionnarial de la gouvernance est lorigine du dveloppement
de nombreux rapports dfinissant un corpus de rgles de bonne gouvernance. Dabord initi dans le contexte anglo-saxon sous la forme de codes de
bonnes pratiques et de bilan dtapes (rapport Cadbury au Royaume-Uni en
1992, rapport Greenbury en 1995, rapports Hampel et Higgs en 1998), ce
mouvement atteint la France ds 1995. linitiative de plusieurs organismes
publics (Commission des Oprations de Bourse) et privs (MEDEF, AFEP),
plusieurs rapports sont publis. Principalement destination des entreprises
cotes, ils visent laborer des dispositifs organisationnels susceptibles de
garantir leffectivit du contrle des actionnaires sur les dirigeants. Ds 1995
linitiative du Conseil national du patronat franais (CNPF), le rapport
Vinot I est publi concernant notamment les missions et le format du
conseil dadministration. Suivront ensuite les rapports Vinot II (1999),
Bouton (2002) et sa version consolide (2003). dictant des recommandations, ces textes ont faonn progressivement un ensemble de bonnes pratiques pour constituer en France la rfrence en matire de gouvernance de
lentreprise (voir encadr ci-aprs).
Des rgles sont galement venues du droit positif pour enrichir ou conforter
les recommandations des codes de bonnes pratiques. Aux tats-Unis, la loi
Sarbanes-Oxley contribue, par le biais de diffrentes sections, restaurer la
confiance perdue des investisseurs suite aux scandales financiers Enron et
Worldcom. En France, la loi NRE (Nouvelles Rgulations conomiques)
positionne le droit franais par rapport des positions divergentes dans les
rapports. Ce texte a t complt par la loi de Scurit Financire
daot 2003, pendant de la SOX aux tats-Unis.
Groupe Eyrolles
En pratique
Les principales dispositions des rapports franais et lois en matire de
corporate governance
1995 - Rapport Vinot I Le conseil dadministration des socits cotes
(AFEP et CNPF)
Incitation pour le conseil dadministration se pencher rgulirement
sur sa composition, son organisation et son mode de fonctionnement au
travers dune auto-valuation.
Raffirmation des missions du conseil dadministration.
Propositions sur le principe de croisement des administrateurs, le

nombre de mandats dadministrateur et les droits et devoirs des administrateurs, la cration de comits, lentre dadministrateurs indpendants.
1996 - Rapport Marini Chapitre III. Promouvoir un meilleur quilibre
des pouvoirs et des responsabilits au sein de lentreprise dun rapport
visant la modernisation du droit des socits franais
Constat dun double dsquilibre imputable notre droit des socits :
suprmatie des fonctions de direction sur celles de contrle et suprmatie des contrles de type judiciaire sur ceux de type interne exercs par
les actionnaires et/ou les commissaires aux comptes.
Proposition sur la possibilit de dissocier dans les statuts les fonctions de
prsident du Conseil dAdministration de celles de directeur gnral.
Proposition pour limiter le nombre de mandats dadministrateurs pour un
travail plus effectif du fait dune plus grande disponibilit ainsi que de
lgifrer pour donner plus defficacit et de poids aux comits.
1999 - Rapport Vinot II Rapport sur le gouvernement dentreprise (AFEP
et MEDEF)
Ralliement une possible dissociation des fonctions de prsident et de
directeur gnral.
Groupe Eyrolles
Proposition dune information standardise et clarifie sur les pratiques

de gouvernement dentreprise avec notamment une information sur les
rmunrations globales des dirigeants au travers dun chapitre structur
dfinissant les politiques de fixe, de variable, de jetons de prsence et
de stock-options.
Adoption dune dfinition simplifie de ladministrateur indpendant et
volont dune prsence plus forte dadministrateurs indpendants au
sein du conseil et de ses manations que sont les comits.
2001 - Loi NRE Nouvelles Rgulations conomiques : gense de la

rforme du droit des socits
Assurer un meilleur quilibre des pouvoirs entre les organes en sparant
les fonctions de prsident et de directeur gnral ou en tendant les pouvoirs des actionnaires minoritaires (abaissement du pourcentage de
capital dtenu permettant dexercer certains droits essentiels comme la
convocation dune AGE).
Faciliter lutilisation des nouvelles technologies de linformation pour renforcer la dmocratie actionnariale. La saisie du comit dentreprise en
cas dOPA/OPE va dans le mme sens.
2002 - Rapport Bouton Le gouvernement dentreprise (AFEP et MEDEF)
Mise en avant de limportance du rle des comits pour un meilleur
quilibre des pouvoirs impliquant des administrateurs indpendants et
comptents ayant leur disposition lensemble des informations ncessaires la bonne excution de leurs travaux.
Prcision sur les modalits dvaluation du conseil dadministration en
ajoutant lauto-valuation annuelle une valuation externe formalise
tous les trois ans au moins.
Raffirmation du principe dindpendance des commissaires aux comptes.
2003 - Loi de Scurit Financire
Publication obligatoire dun rapport par le prsident sur le gouvernement dentreprise (conditions de prparation et dorganisation des travaux du conseil) et le contrle interne (procdures de contrle interne
mises en place).
largissement des pouvoirs de contrle avec la possibilit pour les associations dinvestisseurs dagir en justice pour la dfense de tout prjudice direct ou indirect lintrt collectif des investisseurs.
Cette vision de la gouvernance est aujourdhui dominante dans les conomies utilisant comme circuit de financement principal le march financier.
Nonobstant, cette approche souffre de limites. Selon cette conception, les
autres parties prenantes (stakeholders) ne peuvent prtendre une rmunration, dans la mesure o ils ne prennent pas de risques. En effet, les contrats
signs les protgeraient totalement. Par exemple les salaris, en acceptant une
Groupe Eyrolles
Limitation du cumul de postes dadministrateurs ou de membres dun

conseil de surveillance ; transparence totale sur la rmunration des
mandataires sociaux.
rmunration fixe, indpendante des rsultats de lentreprise limitent fortement leurs risques et de fait devraient renoncer leurs droits sur la rente rsiduelle. A contrario, lapport financier des actionnaires est soumis au risque
dopportunisme des dirigeants. Les propritaires sont donc obligs dassumer
le contrle des dirigeants pour se protger dune perte financire. Lapproche
partenariale remet en cause ce postulat que seuls les actionnaires courent un
risque, conduisant une dfinition diffrente de la gouvernance (Caby et
Hirigoyen, 2005).
Groupe Eyrolles
La vision partenariale de la gouvernance

Lapproche partenariale de lentreprise remet en cause le statut de cranciers rsiduels accord aux actionnaires par le modle shareholders . Plusieurs explications peuvent tre avances pour justifier de la prise en
compte des autres parties prenantes (stakeholders). Une premire source
dexplication peut sappuyer sur la vision de lorganisation propose par
dIribarne (1993). Lvolution des thories des organisations conduit
apprhender lentreprise comme un espace de multiples cooprations,
dapports complmentaires, de valorisation des investissements en fonction de linvestissement spcifique des autres acteurs. Il en rsulte que les
parties prenantes constituent un point dappui par rapport lobjectif de
cration de valeur. En change de leurs engagements au sein de lentreprise, les parties prenantes peuvent prtendre des droits. Elles sont donc
des propritaires au mme titre que les actionnaires (Charreaux, 2004).
Une seconde explication la prise en compte des autres parties prenantes
rside dans lexistence dun report du risque conomique et financier de
lactionnaire sur le salari. La financiarisation de lconomie est lorigine
de ce transfert de risque. Les salaris courent aujourdhui un risque dinscurit qui est parfaitement illustr par les cas suivants : Les investisseurs
institutionnels ont import le respect de normes financires de rentabilit
au sein de lentreprise et contribu ainsi aux fortes ruptures dans des identits collectives longtemps fondes sur la permanence et la stabilit. Les
apprciations des titres de socits cotes lors de lannonce de restructurations, ou encore la pratique de licenciements qualifis parfois de boursiers sont ce titre significatives. 1 Sil nexiste pas de contrepartie ce
risque sous forme dattnuation ou de rmunration, lincitation pour le
1. Extrait dun document de la Direction des tudes de lENA concernant un sminaire
relatif au dialogue social et portant sur le thme Dialogue social et gouvernance
dentreprise , juillet 2004, 81 pages, pp.6-7.
La prise en considration de lensemble des parties prenantes comme propritaires de lentreprise change le rle du processus de corporate governance.
Daprs Charreaux (2004), le problme majeur en termes de gouvernance
nest [plus] pas la tricherie managriale, mais lappropriabilit des actifs
critiques . La volont des dirigeants doit tre de crer un climat de confiance
et de coopration, condition ncessaire la cration de valeur. Il sagit pour
les dirigeants de sassurer quaucun stakeholder ne saccapare durablement une
part de richesses trop importante au dtriment des autres. La gouvernance de
lentreprise consiste alors rendre possible la coopration des parties prenantes
composant lentreprise. Le systme de gouvernance constitue donc un
ensemble de mcanismes permettant une allocation optimale de la rente organisationnelle entre les diffrentes parties prenantes de lentreprise. Lobjectif
est de minimiser les pertes engendres, prcisment par les conflits lis aux modalits
de partage de la rente organisationnelle (Caby et Hirigoyen, 2005). Charreaux
(1997) considre que dans cette vision partenariale le rle du systme de gouvernance est de faire pression sur les dirigeants de faon ce que leurs activits de cration et de redistribution de rentes satisfassent lensemble des
stakeholders et assument la viabilit globale et indpendante de la coalition,
vitant ainsi les situations de crise qui se traduisent soit par un clatement de la
coalition, soit par une spoliation dun groupe de stakeholders prisonniers de
leurs transactions .
Les rapports dictant des codes de bonnes pratiques en matire de gouvernance sont peu nombreux prendre appui sur cette vision partenariale. Le
rapport Vinot I se fait lambition de privilgier ce positionnement
lorsquil annonce la primaut accorde lintrt social sur lintrt des
actionnaires ; mais sans que cela ressurgisse clairement au niveau des
recommandations. En revanche, des mcanismes comme la cration au
sein des entreprises de direction de la dontologie et de lthique traduisent une timide reconnaissance pratique de cette conception plurale de
lorganisation (Caby et Hirigoyen, 2005). De la mme faon, le dveloppement de lactionnariat salari peut tre considr comme en adquation
avec cette vision du corporate governance. Blair (1997) a mis en vidence que
Groupe Eyrolles
salari dvelopper du capital spcifique peut tre remise en cause et compromettre la cration de valeur. Pour Caby et Hirigoyen (2005), dans la
mesure o il nest pas envisageable de supprimer le risque en garantissant aux
employs la prennit de la relation demploi, seule la rmunration du
risque semble concevable, et en consquence, les salaris sont des cranciers
rsiduels comme les actionnaires .
la rmunration des employs par des actions des entreprises peut fournir un mcanisme destin encourager et protger les investissements en
capital humain spcifique .
Que la vision soit actionnariale ou partenariale, les deux reposent sur une
reprsentation contractuelle de lorganisation. Lentreprise est un nud de
contrats ncessitant de mettre en place des dispositifs pour prvenir ou agir sur
des conflits entre parties prenantes lentreprise. Le courant cognitif propose
un autre cadre conceptuel pour apprhender la gouvernance.
Le courant cognitif de la gouvernance :

vers une synthse des deux courants
Groupe Eyrolles
Le recours aux thories de la cognition permet dlargir le concept de gouvernance en abandonnant la reprsentation de lorganisation comme un nud de
contrats. En effet, cette dernire conception prsente linconvnient de considrer la cration de valeur comme donne. Charreaux (2004) sexprime en ces
termes : la valeur est maximise un instant donn, lensemble des opportunits dinvestissement tant suppos connu au moins des dirigeants et le choix
des investissements se faisant selon lanalogie du menu. La ralit des organisations met en exergue que la cration de valeur rsulte dun processus et non
pas dune procdure dallocation de linformation (Depret et Hamdouch,
2005). Lapprhension de lorganisation comme un lieu de production de
connaissances prsente lavantage de sintresser au processus de cration de
valeur, dans la mesure o elle est le lieu le plus adapt pour favoriser le processus de cration de connaissances et dapprentissage collectif (Dosi, 1988). En
effet, ce processus rsulte de la capacit de lentreprise crer de la
connaissance, cest--dire de son aptitude construire les opportunits de
croissance (identifier et mettre en uvre des investissements rentables), dans
lobjectif dune cration de valeur durable. Favoriser le processus de cration de
connaissances passe par lexistence de conflits dordre cognitifs1.
Lapproche cognitive de lentreprise ne renvoie pas la mme approche de la
gouvernance de lentreprise que celle dcrite par le courant disciplinaire.
Alors que dans ce dernier, le systme de gouvernance se donne pour objectif
de minimiser les conflits dintrts, le systme de gouvernance li la conception cognitive se doit de crer un environnement propice aux dveloppe1. Foss a dmontr que linnovation tait favorise par la coexistence de schmas cognitifs
conflictuels. Foss, N., (1996), Capabilities and the Theory of the Firm , Revue
dconomie Industrielle, n77, troisime trimestre, pp. 7-28.
ments des conflits cognitifs qui feront merger par mulation les
investissements rentables (Charreaux, 2004). Dans cette perspective, le rle
de la gouvernance est de sassurer que les procdures de prise de dcision au
sein de lorganisation seront rellement efficientes . Pour cela, les mcanismes de gouvernance de lentreprise doivent tre conus dans loptique
dassister le management dans la phase dlaboration des orientations stratgiques. Ceci sous-tend de crer un climat organisationnel propice aux
apprentissages (conflits cognitifs) dans le but de faire merger des voies de
croissance. Cette dimension de la gouvernance est qualifie par Charreaux
de dimension habilitante. Pour tre totalement efficace, elle doit saccompagner dune dimension contraignante. Afin que les conflits cognitifs ne
dclenchent une situation de blocage, des mcanismes doivent exister pour
servir des contraintes aux choix stratgiques des managers notamment en
affichant des dispositifs de sanction en cas dchec ou de non-ralliement aux
modles cognitifs dominants.
Ces deux dimensions rapprochent finalement les deux courants de la gouvernance dentreprise tout en inscrivant le systme de gouvernance en
priorit dans la perspective dasseoir la capacit dinnovation et dapprentissage de lorganisation. Ce dernier se doit alors doptimiser le potentiel
de cration de valeur par linnovation et lapprentissage, tout en dveloppant conjointement des mcanismes doptimisation de la latitude managriale. Charreaux (2004) prsente le modle de Lazonick et OSullivan
(2000) de la firme innovatrice comme une parfaite illustration de ce rapprochement des courants. Selon ce modle, le systme de gouvernance
doit permettre :
lengagement financier, de faon permettre non seulement le dveloppement des comptences, mais galement dobtenir le dlai suffisant pour
que les investissements porteurs dinnovation soient rentables ;
lintgration organisationnelle incitant les acteurs internes investir leurs
comptences et leurs efforts en fonction des objectifs de la firme ;
la matrise du processus de dveloppement qui repose sur leur exprience
et leur interprtation (Charreaux, 2004).
Laudit interne comme dispositif de mise sous contrle

de lorganisation et daide au management
La dfinition de laudit interne et lapprhension de son primtre daction
permettent de percevoir cette fonction comme un mcanisme de gouver-
Groupe Eyrolles
nance de lentreprise. Elle peut effectivement agir la fois, pour reprendre les
termes de Charreaux (2002), sur la dimension habilitante , mais aussi sur la
dimension contraignante de la gouvernance de lentreprise.
Identification de quelques mcanismes de gouvernance

de lentreprise
Les mcanismes de gouvernance de lentreprise sont nombreux et il semble

difficile den dresser a priori une liste exhaustive. Cette difficult sexplique
par le comportement actif des dirigeants qui les conduit trouver des comportements de contournement ces mcanismes. Il en rsulte de fait une
adaptation ou un ncessaire renouvellement de ces mcanismes. Les typologies des mcanismes permettant de recenser ces dispositifs sont nombreuses.
Lvocation de la typologie de Charreaux et de celle de Caby et Hirigoyen
permettent de prsenter un large panorama des mcanismes.
Groupe Eyrolles
Charreaux (1987) propose de distinguer les mcanismes externes des dispositifs internes. Les premiers relvent de la discipline de march, cest--dire
que ce dernier fait directement pression sur le comportement des dirigeants.
Par exemple, le march financier [ la condition quil soit liquide] intervient comme un mcanisme de contrle dans la mesure o les actionnaires
mcontents peuvent se dfaire de leurs titres en entranant ainsi une baisse
(Caby et Hirigoyen, 2005). Le march du travail et le march des biens et
services sont dautres exemples de mcanismes externes susceptibles de dlimiter les pouvoirs et dinfluencer les dcisions des dirigeants. Les systmes
internes sont construits au sein mme de lentreprise. Parmi ceux-ci, le conseil dadministration, au travers de son rle et de sa constitution, constitue un
pilier repris dans les nombreux rapports sur les bonnes pratiques de gouvernance. En tant quvaluateur et organe de ratification des dcisions dinvestissement long terme et de contrle de la performance des principaux
dirigeants (Fama et Jensen, 1983), la composition et la structuration du conseil dadministration revt une importance primordiale. ct de ce mcanisme, la structuration du capital et la politique dendettement reprsentent
des moyens de contrle coercitifs pour mettre en adquation le comportement des dirigeants avec les intrts des actionnaires.
Caby et Hirigoyen (2005) prfrent distinguer mcanismes dincitations
financires et mcanismes de contrle : Nous avons souhait retenir une
autre distinction, dans la mesure o il semble que les mcanismes de contrle
se caractrisent plus par une notion dincitation ngative, autrement dit, une
sanction potentielle, et les incitations financires par une notion dincitation
Le tableau ci-aprs dresse et commente quelques mcanismes de gouvernance de lentreprise afin de mettre en vidence en quoi ils apportent des
solutions pour limiter les conflits dintrts au sein de lorganisation, ou plus
rarement une aide au management.
Tableau n 1 - Quelques mcanismes de gouvernance de lentreprise
Mcanismes
Description
La mise en place de procdure favorisant la

dmocratie et
lactivisme actionnarial
(contrle interne et
mcanisme de contrle)
Un actionnaire jugeant non satisfaisantes les performances

obtenues par lquipe dirigeante doit pouvoir se faire entendre. Pour quil runisse autour de lui suffisamment de voix,
des procdures doivent favorisent lexercice de ce droit et du
devoir de vote des actionnaires aux assembles. Le vote par
procuration et le vote par Internet sont autant de dispositifs
favorisant lactivisme actionnarial.
La politique dendettement (contrle interne et

mcanisme de contrle)
Lendettement joue un rle disciplinaire. Le recours la dette

constitue un moyen de contraindre les dirigeants grer
dans lintrt des actionnaires. Pour viter les cots de
faillite, les dirigeants sont dans lobligation de gnrer, toutes choses gales par ailleurs, un rsultat plus important.
Le march du travail
(contrle externe
et mcanisme de
contrle)
Le march du travail exerce une pression sur les dirigeants.

En cas de non-performance, ces derniers pourront faire
lobjet dun remplacement. A contrario, dans le cas dune
performance et en labsence dindexation de la rmunration
sur les rsultats, les dirigeants peuvent tre conduits partir, face aux opportunits proposes par le march du travail.
Laudit interne : un mcanisme de gouvernance de lentreprise

Laudit interne peut sinscrire comme dispositif de gouvernance autant dans
une approche disciplinaire que cognitive de la gouvernance de lentreprise.
Pour lapprhender sous ces deux facettes, il convient au pralable den dli-
Groupe Eyrolles
positive, une rmunration supplmentaire potentielle. Cette typologie conduit ranger au titre des mcanismes de contrle lensemble des mcanismes
voqus prcdemment dans la typologie et prenant appui sur la typologie de
Charreaux. Les mcanismes dincitations financires consistent indexer la
rmunration des dirigeants sur la performance de lentreprise en retenant
comme critre dvaluation de la performance un critre actionnarial. Lindexation peut, par exemple, prendre la forme dun plan de stock-options qui va inciter les dirigeants maximiser la valeur de march des capitaux propres afin de
bnficier lors de lexercice de loption, du gain le plus lev possible.
miter le champ dinvestigation. La dfinition de lautorit professionnelle

que reprsente lIfAcI peut servir de rfrence. Cet organisme a retenu la traduction suivante de la dfinition de lIIA : laudit interne est une activit
indpendante et objective qui donne une organisation une assurance sur le
degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer
et contribue crer de la valeur ajoute. Cette dfinition traduit le fait que
la fonction doit contribuer la cration de performance (crer de la valeur
ajoute). Mais elle ne rvle pas explicitement les apports disciplinaire et
cognitif de la fonction daudit. De surcrot, elle ne met pas en exergue le fait
que cette fonction est en pleine construction et que son primtre nest donc
pas totalement unifi (Renard, 2005).
Groupe Eyrolles
En effet, les objectifs assigns la fonction ne sont pas perus de faon

homogne par lensemble des professionnels en activit et ce mme sil existe
un certain nombre dactions visant promouvoir une pratique dominante
(cest--dire le niveau dimplantation le plus avanc). Comme toute fonction
rcente, laudit interne donne lieu des pratiques volutives quil est possible
de percevoir au travers dun largissement du champ dintervention de
laudit interne (Piot, 2005). Il existe depuis le dbut des annes 1980 une
complexification de la nature des audits et des objectifs des contrles
mens par les auditeurs internes (Renard, 2005). Quatre catgories daudit
traduisent le stade le plus avanc de la fonction :
laudit de rgularit ou de conformit : au travers de cette mission, lauditeur met en uvre une dmarche simple consistant vrifier que la ralit
des faits soit conforme un rfrentiel interne ou issu du droit positif (dispositions lgales et rglementaires) ;
laudit defficacit ou de performance consiste approfondir la dmarche
prcdente en obligeant lauditeur interne se positionner par rapport
la qualit des rgles en vigueur au terme dune phase de diagnostic ;
laudit de management est un jugement de forme et non de fond port
par lauditeur interne sur les dcisions prises par les hauts dirigeants ;
laudit de stratgie a pour objectif de confronter lensemble des politiques
et des stratgies de lentreprise avec lenvironnement dans lequel elles se
situent pour en vrifier la cohrence. Lauditeur sassure alors que la
norme de performance assigne est connue et ralisable.
Les deux premires missions de laudit interne sont traditionnelles et reconnues par les professionnels de la fonction. Elles renvoient clairement une
dimension disciplinaire de laudit interne et mettent donc lorganisation sous
contrle. Lexemple illustrant le mieux cette dimension est la participation
de laudit interne au niveau du processus de reddition des comptes. En effet,

ds lors quune fonction daudit interne existe, cela signifie quune action a
t mene visant veiller la fiabilit et lefficacit du dispositif de contrle
interne. Laudit interne est donc conduit se positionner par rapport la
qualit de linformation produite par lentreprise et qui reflte limage de
celle-ci. Elle contribue donc par ce biais lutter contre les problmes dasymtrie dinformation entre les dirigeants et les actionnaires, dautant quil
existe un dernier niveau de contrle avec lintervention dun auditeur
externe dans le cadre de la mission de commissariat aux comptes. Au travers
de ces dispositifs et de leur imbrication (Pig1, 2001), il apparat quen se
positionnant en tant que superviseur de la production dinformations, laudit
interne constitue un mcanisme de mise sous contrle de lorganisation et
ce titre peut tre considr comme un systme de corporate governance dans
une approche disciplinaire.
Les deux autres missions, pas forcment reconnues par lensemble de la profession, renvoient une dimension plus habilitante (Charreaux, 2004) de
laudit interne dans le systme de gouvernance de lentreprise. Le fait de
demander la fonction daudit interne de mener ce genre de mission constitue pour les dirigeants un moyen de ddouanement vis--vis des craintes des
actionnaires. la condition que ces missions soient dployes dans un
contexte dindpendance et dobjectivit, elles constitueront pour les dirigeants un moyen daide dans la conduite des affaires et de mise en vidence
dune volont de transparence sur le march des affaires de lentreprise vis-vis des tiers. Laudit interne doit alors tre peru comme un instrument de
management pour les dirigeants. La remonte dinformations et le rle de
proposition jou par laudit interne (Renard, 2005) permettent la direction
dapprendre (apprentissage) dans le but de faire merger les orientations stratgiques qui porteront les investissements les plus rentables.
Les conditions de compatibilit des missions de laudit

interne avec la corporate governance
La seconde partie de la dfinition de lIIA concernant la fonction daudit
interne mentionne explicitement quau-del de sa participation au processus
1. Pig distingue, dun point de vue partenarial, trois niveaux dasymtrie dinformation
au sein du gouvernement dentreprise : lasymtrie dinformation entre dirigeants et
conseil dadministration, celle entre les actionnaires et leurs reprsentants les administrateurs et celle entre les investisseurs potentiels et les dirigeants de lentreprise.
Groupe Eyrolles
de gouvernance de lentreprise, elle se doit galement dvaluer le processus

de gouvernance dentreprise : il [laudit interne] aide cette organisation
atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur
efficacit. Cette volution des missions de laudit interne, confirme par
lexistence dune norme spcifique au sein des normes internationales pour
la pratique professionnelle de laudit interne, tend placer la fonction face
un risque fort daudit. Laudit interne peut-il tre la fois partie prenante au
processus de gouvernance et juge de ce dernier ? Le fait que la fonction
daudit interne ne constitue quun petit maillon du processus de gouvernance tend rpondre par laffirmative, mais pour viter toute ambigut
nest-il pas prfrable de concevoir un dispositif permettant dattnuer ce
risque de subjectivit au travers par exemple dun largissement ou dune
relecture des missions dun comit daudit comme le propose la loi SarbanesOxley dans le contexte nord-amricain ?
Contenu de la mission dvaluation et de contrle du processus

de gouvernement dentreprise
Si la mission dvaluation du processus de gouvernement dentreprise est
prsente ds 1999 dans la dfinition de laudit interne propose par lIIA, elle
connat une prcision avec la proposition en 2004, toujours par le mme
organisme, de normes internationales pour la pratique professionnelle de
laudit interne.
Groupe Eyrolles
La norme 2 130
Au sein des normes de fonctionnement, une norme explicite la mission
dvaluation par laudit interne du processus de gouvernance de lentreprise.
Il sagit de la norme 2 130, prcisant les attentes concernant cette mission.
Laudit interne doit valuer le processus de gouvernement dentreprise et
formuler les recommandations appropries en vue de son amlioration.
cet effet, il dtermine si le processus rpond aux objectifs suivants :
promouvoir des rgles dthique et des valeurs appropries au sein de
lorganisation ;
garantir une gestion efficace des performances de lorganisation, assortie
dune obligation de rendre compte ;
Problme de compatibilit
Cette norme 2 130 soulve un vritable problme de compatibilit avec la
participation directe de laudit interne au processus de corporate governance. Ce
concours actif au processus de management permet-il la fonction dapporter une valuation totalement objective du processus de gouvernement
dentreprise ? tre la fois juge et partie ne fait-il pas peser un risque daltration de lvaluation ? De surcrot, cette participation semble en totale contradiction avec la norme de qualification, selon laquelle les auditeurs
internes doivent tre indpendants des activits quils auditent cest--dire
que les domaines dans lesquels intervient lauditeur interne ne sauraient tre
audits par lintress . Pour expliciter ce risque daudit2, il est possible de
rapprocher certains objectifs du processus de gouvernance dentreprise que
doit vrifier laudit interne des principales normes pour la pratique professionnelle de laudit interne.
Ainsi, la norme 2 130 prcise que laudit interne doit prendre position sur la
capacit du processus de gouvernement dentreprise garantir une gestion
efficace des performances de lorganisation, assortie dune obligation de
rendre compte. Suite cette valuation, le fait dmettre des recommandations sur cet lment et compte tenu de sa participation au processus de gouvernement dentreprise conduit laudit interne reconnatre implicitement
que la gestion de lactivit daudit interne nest pas totalement exerce dans
1. Extrait de la traduction par lIfAcI des normes internationales pour la pratique professionnelle de laudit interne 2004, disponible sur le site Internet de lIfAcI
(www.ifaci.com).
2. Le risque daudit est rsiduel aprs le passage de lauditeur interne, dans la mesure o la
demande daudit porte en soi sa relativit.
Groupe Eyrolles
bien communiquer aux services concerns au sein de lorganisation des

informations relatives aux risques et aux contrles ;
fournir une information adquate au conseil, aux auditeurs internes et
externes et au management, et assurer une coordination efficace de leurs
activits.
2 130. A1 laudit interne doit valuer la conception, la mise en uvre
et lefficacit des objectifs, des programmes et des activits de lorganisation lis lthique ;
2 130. C1 les objectifs de la mission de conseil doivent tre en cohrence avec les valeurs et objectifs gnraux de lentreprise. 1
le but de garantir quelle apporte une valeur ajoute lorganisation (norme

de fonctionnement 2000 Gestion de laudit interne).
En outre, cette norme prcise que laudit interne doit mettre un jugement sur laptitude du processus de gouvernement dentreprise bien
communiquer aux services concerns au sein de lorganisation les informations relatives aux risques et aux contrles. Considrer que cet objectif
nest pas atteint au travers de recommandations conduit laudit interne
reconnatre quil na pas rpondu aux normes 2 110 Management des risques laudit interne doit aider lorganisation en identifiant et en valuant
les risques significatifs et contribuer lamlioration des systmes de
management des risques et de contrle et 2 120 Contrle laudit interne
doit aider lorganisation maintenir un dispositif de contrle appropri en
valuant son efficacit et son efficience et en encourageant son amlioration continue.
Groupe Eyrolles
Enfin, ce texte mentionne que laudit interne doit valuer si le processus

de gouvernement dentreprise fournit une information adquate au conseil, aux auditeurs internes et externes et au management, et assurer une
coordination efficace de leurs activits. La norme de fonctionnement
2 060 Rapport au conseil et la direction gnrale prcise le responsable de laudit interne doit rendre compte priodiquement la direction
gnrale et au conseil des missions, des pouvoirs et des responsabilits de
laudit interne, ainsi que des rsultats obtenus par rapport au programme
prvu . Par consquent, considrer cet objectif comme non atteint conduit laudit interne reconnatre que son activit de remonte dinformations vis--vis du conseil et de la direction gnrale nest pas parfaitement
excute.
Dans une vision troite de la gouvernance dentreprise, ce risque de manque
dobjectivit est amplifi par le problme dindpendance de la fonction. La
fonction daudit interne est frquemment rattache hirarchiquement la
direction gnrale. En effet, les auditeurs internes sont employs par la direction. Compte tenu de ce rattachement, il peut paratre paradoxal de faire
valuer le processus de gouvernance de lentreprise par laudit interne. Il est
lgitime de considrer, eu gard ce rattachement, que le rapport pourrait
tre rdig dans le but de conforter la direction gnrale au dtriment des
actionnaires. Il en rsulte que laction de contrle mene pour prvenir un
conflit dintrt actionnaires/dirigeants peut trs rapidement tre considre
comme sans effet.
Au-del de la connaissance de la compromission de lobjectivit de laudit

interne, conformment la norme 1 1301, il semble possible damnager un
dispositif organisationnel susceptible dattnuer le risque de subjectivit en
limitant notamment la dpendance hirarchique de la fonction par rapport
la direction. Il sagit de faire vrifier le travail dvaluation du processus de
gouvernement dentreprise par le comit daudit.
Lvolution prvisible du droit europen et lexemple nord-amricain contribuent nous faire percevoir le comit daudit comme la solution organisationnelle la plus adapte pour exercer un rle de supervision de la qualit du
travail dvaluation par laudit interne du processus de gouvernement
dentreprise.
Lapport de SOX et le contenu de larticle 39-2 de la huitime

directive de lUE
En matire de comit daudit, le contexte nord-amricain peut et semble
servir de ligne directrice eu gard larticle 39-2 de la huitime directive de
lUnion europenne (2006), qui devrait rendre obligatoire les comits
daudit au sein des socits cotes. contre-exemple de la France, qui a souhait garder une approche trs librale en matire de comit daudit2, les
tats-Unis ont choisi de lgifrer au travers de plusieurs sections de la loi Sarbanes-Oxley en 2002 (voir lencadr ci-aprs). Ce texte dfinit le comit
daudit et le rend obligatoire pour toute socit par actions.
En vertu de la huitime directive de lUE, les comits daudit, dont les fonctions sont prcisment dfinies, seront rendus obligatoires en France dici
quelques annes dans les socits cotes. Larticle 39-2 de cette directive prcise les missions relevant du comit daudit :
suivi du processus dlaboration de linformation financire ;
1. Elle prcise que si lobjectivit ou lindpendance des auditeurs internes sont compromises dans les faits ou mme en apparence, les parties concernes doivent en tre
informes de manire prcise. La forme de cette communication dpendra de la
nature de latteinte lindpendance.
2. Ni la loi NRE du 15 mai 2001, ni la loi de Scurit Financire du 1er aot 2003 ne
comportent darticles exigeant la mise en place de comits daudit.
Groupe Eyrolles
Le recours au comit daudit pour rendre les deux missions

compatibles
En pratique
Les principales dispositions de la loi SOX en matire de comit daudit
Section 202
Le comit daudit, ou les membres dsigns du comit pr approuve(nt)
tout service fourni par lauditeur indpendant.
Section 204
Le comit daudit tient des discussions rgulires avec lauditeur indpendant concernant :
toute politique ou pratique comptable importante ;
tout traitement alternatif de linformation financire dans le cadre des
PCGR1 ayant t discuts avec la direction (incidences dun tel traitement,
position de lauditeur indpendant) ;
toute autre communication crite entre lauditeur et la direction, dont les
lettres daffirmation de cette dernire et le sommaire des carts non ajusts.
Section 301
Le comit daudit est compos intgralement dadministrateurs qui respectent les exigences dindpendance, y compris sur les questions de
rmunrations, de la loi et des rglements correspondants propres aux
autorits boursires.
le comit daudit a le pouvoir dengager des conseillers indpendants
dans la mesure o il le juge ncessaire.
le comit daudit a le pouvoir de runir les fonds ncessaires une
rmunration approprie des auditeurs indpendants et de tout
conseiller engag par ses soins.
le comit daudit est directement responsable des points suivants relatifs
lauditeur indpendant : slection, rmunration, supervision de la mission, non-renouvellement (le cas chant), arbitrage de tout conflit avec la
direction, supervision de tout problme ou de toute difficult lis laudit
ainsi que des rponses de la direction sur ces problmes ou difficults.
Groupe Eyrolles
le comit daudit doit mettre en place des procdures visant permettre

la soumission confidentielle et anonyme, par des employs de la compagnie, de points qui semblent problmatiques sur le plan de la comptabilit ou de laudit.
/
1. Principes comptables gnralement reconnus.
Section 407
La compagnie doit divulguer si le comit daudit comprend au moins un
expert financier , au sens des critres tablis par la Securities Exchange
Commission. Si tel est le cas, il convient de mentionner le nom de cette personne et de prciser si elle est, ou non, indpendante de la direction. Si le
conseil dadministration tablit que le comit daudit ne compte aucun
expert financier, il convient de prciser les raisons de cette dcision.
contrle de lefficacit des systmes de contrle interne, de laudit interne

le cas chant, et de la gestion des risques de la socit ;
supervision du contrle lgal des comptes annuels et des comptes
consolids ;
examen et suivi de lindpendance du contrleur lgal ou du cabinet
daudit, en particulier pour ce qui concerne la fourniture de services
complmentaires lentit contrle, ainsi que tout engagement dudit
contrleur ou dudit cabinet de fournir des services autres que de
contrle ;
slection pralable de tout contrleur lgal ou cabinet daudit dont la
dsignation est propose par lorgane dadministration ou de surveillance.
Les raisons du choix du comit daudit comme organe de contrle

Conforte par cette volution du droit, notre volont de doter le comit
daudit de cette nouvelle mission peut aussi se justifier par deux considrations.
La premire rsulte dune volont de ne pas alourdir larchitecture du
contrle organisationnel par la cration dun comit supplmentaire ou
dun organe spcifique cette mission de contrle de lvaluation du processus de gouvernement dentreprise. Le fait que la prsence dun comit
daudit va devenir obligatoire en France pour les socits cotes donne
une garantie sur le droulement de ce contrle dautant que les textes de
loi y font implicitement ou explicitement rfrence. Larticle 39-2 de la
huitime directive de lUE donne comme seconde mission au comit
daudit celle de contrler lefficacit des systmes de contrle interne, de
laudit interne .
Groupe Eyrolles
Source : Deloitte & Touche (2003), Audit Committee Resource Guide
La seconde considration va au-del du texte de loi pour justifier du choix

du comit daudit parmi lensemble des comits (comit daudit, comit des
rmunrations, comit de nomination) pour exercer la supervision de la mission dvaluation par laudit interne du processus de gouvernement dentreprise. Il savre que le comit daudit entretient dj une relation troite avec
la fonction daudit interne. Cette fonction est considre comme une ressource importante pour le comit daudit1 (Piot, 2005). Dans le droit fil de
ces missions, ce dernier tablit donc un protocole de communication avec
laudit interne permettant dviter les censures managriales. Pour Piot
(2005), il est [ainsi] le vecteur dune meilleure circulation de linformation
en ce qui concerne le droulement des contrles et la dcouverte . Il y
aurait donc au travers de cette communication une optimisation de lobjectivit de la phase dinspection de la fiabilit du processus de gouvernement
dentreprise. Pour lexpliciter, une rfrence peut tre faite aux travaux de
Braiotta, qui dfinit les tches accomplir par le comit daudit. Il considre
quil existe, conformment lencadr ci-aprs, trois grandes fonctions pour
un comit daudit : un rle de planification, une fonction de surveillance et
un rle de communication.
En pratique
Les fonctions du comit daudit dans le contexte amricain
Planification - Revue et allocation des ressources internes et externes de la
fonction daudit :
Approche intgre de la fonction daudit.
Consolidation des programmes daudit internes et externes pour viter
les redondances et maximiser lefficience de la vrification.
Recommandation de la nomination de lauditeur externe (qualit des
services, honoraires, etc.).
Surveillance - Supervision du droulement et du respect des plans daudit :
Entretiens rguliers avec le responsable de la fonction daudit interne.
Groupe Eyrolles
1. Les auditeurs internes aident le comit daudit sassurer de la conformit aux rgles et
aux politiques de lentreprise (application du rglement intrieur, etc.). Ils effectuent,
dans certains cas, des investigations spcifiques sur demande du comit daudit, par
exemple sur des versements douteux ou des fraudes potentielles.
Analyse des systmes dinformation, de contrle interne, et des risques

daffaires.
Rglement des conflits dintrts et des questions thiques, prvention
des comportements discrtionnaires, arbitrage des conflits auditeur-dirigeants.
Communication - Rapport formel au conseil dadministration prcisant :
Les politiques comptables de la firme et du secteur (ex. rgles de consolidation).
Les rfrences aux rapports de conseillers juridiques pour les questions

dengagements, dventualits et de conformit lgale.
Source : extrait de Piot (2005).
La fonction de surveillance est en totale adquation avec notre volont

dencadrer le travail dvaluation du processus de gouvernance de lentreprise
de laudit interne par le comit daudit. La supervision du droulement et du
respect des plans daudit oblige des contacts rguliers entre le responsable
de la fonction daudit et le comit daudit. Lanalyse des systmes dinformation doit ainsi permettre de rgler les conflits dintrts et notamment le rapport de connivence pouvant exister entre dirigeants et auditeurs, du fait du
lien hirarchique. Le comit daudit devient ainsi une structure dencadrement et de contrle susceptible de rendre significativement objective lvaluation du processus de gouvernance dentreprise. Le fait de rendre compte
un organe de contrle indpendant vient attnuer la subjectivit rsultante
du lien hirarchique existant entre audit interne et dirigeants. Il existe donc
au travers de ce contrle une incitation forte pour les auditeurs travailler en
toute indpendance et se dgager des pressions managriales. Encore faut-il
que le comit daudit soit rellement indpendant de la direction, suffisamment comptent et impliqu dans ses fonctions de supervision ? Se pose
donc le problme de la composition du comit daudit.
Dans le contexte franais, le nombre de membres dun comit varie entre
trois et dix personnes. La plupart des rapports recommandent quil soit constitu dadministrateurs indpendants auxquels il est possible dassocier des
non-administrateurs en raison de leurs comptences particulires. Il est utile
quun membre du comit daudit ait des comptences juridiques, comptables et financires pour pouvoir dialoguer avec les diffrents interlocuteurs.
Groupe Eyrolles
La revue des synthses et des rapports des auditeurs internes et externes.
Lindpendance est fondamentale pour la qualit du contrle exerc par ce

comit daudit. Ses membres ne doivent pas tre en situation de conflits
dintrts. Cette indpendance est mesure au regard des autres fonctions et
autres mandats exercs, ou encore exercs il y a moins de cinq ans. En fonction de ces lments, il est possible daffirmer une indpendance au service
de lintrt de la socit et de ses actionnaires ou de ses parties prenantes.
Concernant limplication, une mesure imparfaite peut tre ralise au travers
de la frquence des runions et des auditions menes. La frquence des runions doit tre dau moins trois par an, correspondant aux trois phases cls de
laudit (prsentation, planification et coordination du plan daudit, rsultats
semestriels et examen du contrle des comptes annuels). Il est vident que ce
nombre doit tre plus important si le comit daudit veut rellement assurer
un contrle de lvaluation du processus de gouvernance de lentreprise.
Pour ce qui est des auditions, le comit daudit a pour obligation dauditionner, aprs en avoir inform le prsident du conseil, les dirigeants mandataires
sociaux, les directeurs financiers et comptables, les commissaires aux comptes et le responsable de laudit interne. Ce dernier doit tre entendu au moins
une fois par an et hors de la prsence des mandataires sociaux. Enfin, le travail de contrle doit faire lobjet dun compte-rendu auprs du conseil
dadministration.
POUR CONCLURE
Groupe Eyrolles
La prsence du comit daudit ne constitue pas une condition suffisante pour attnuer
le risque daudit rsultant dune valuation par laudit interne du processus de
gouvernance dentreprise. Il est ncessaire que le comit daudit soit indpendant,
comptent et impliqu. Pour affirmer la qualit des valuations ralises par laudit
interne, certains souhaitent un rattachement hirarchique de laudit interne
directement au comit daudit. Si nous concevons quil doit exister un rattachement
fonctionnel de laudit interne au comit daudit, nous sommes plus rservs sur un
rattachement hirarchique, au risque de contraindre laudit interne dans le primtre
troit de laudit de conformit et defficacit.
Chapitre 6
La loi Sarbanes-Oxley
et la coopration audit interne/
audit externe
PAR LISABETH BERTIN1,

Entreprises (IAE) de lUniversit Franois-Rabelais de Tours
a loi amricaine Sarbanes-Oxley, adopte en 2002 et tmoignant dun

intrt croissant pour la gouvernance de lentreprise, encourage les
entreprises se doter de moyens de porter une apprciation sur la pertinence
de leur contrle interne. Ces nouvelles dispositions ont ouvert la voie une
srie de rvisions lgislatives et rglementaires dans dautres pays. Cest ainsi
quont t promulgues notamment, la loi 198 au Canada (2002), la loi de
Scurit Financire en France (2003) et la loi fdrale sur la surveillance de la
rvision en Suisse (2005).
Groupe Eyrolles
Dans ce contexte, sachant que le contrle interne constitue une proccupation majeure de lauditeur interne et de lauditeur externe2 et le point de
convergence de leurs travaux, il apparat pertinent de sinterroger sur
limpact de ces rglementations rcentes3 sur les relations quentretiennent
1. Lauteur remercie tout particulirement Jean-Franois Dufour, Directeur des mthodes la Direction de lAudit Interne de Total, pour les pistes de rflexion suggres.
2. Par auditeur externe, il faut entendre, tout au long de ce chapitre, lauditeur lgal
appel galement auditeur statutaire, lequel est charg de certifier la rgularit, la sincrit et la fidlit de linformation comptable et financire. Ce rle est rempli par le
commissaire aux comptes en France.
3. Ne pouvant traiter lensemble des rglementations nationales dans ce chapitre, nous
focaliserons notre attention sur la loi Sarbanes-Oxley, source dinspiration pour diffrents tats et, de plus, de porte internationale. En effet, elle sapplique toutes les
entreprises amricaines et trangres cotes la Bourse de New York ainsi quaux
filiales des socits amricaines.
Cette contribution a ainsi pour objectif de dmontrer les bienfaits dune

coopration entre laudit interne et laudit externe sur le processus de gouvernance de lentreprise et didentifier les facteurs exerant une influence sur
leur degr dinteraction. cette fin, seront confronts les aspects normatifs,
des lments factuels issus de lactualit professionnelle internationale,
lclairage thorique et enfin les travaux acadmiques portant sur les dterminants de la coopration audit interne/audit externe.
Notre cheminement sarticulera ainsi autour de deux points. Aprs avoir
envisag la coopration audit interne/audit externe comme une ncessit au
nom dune plus grande efficacit du processus de gouvernance, nous nous
interrogerons sur les dterminants de lampleur de cette coopration.
La coopration audit interne/audit externe : pour une plus

grande efficacit du processus de gouvernance
Audit interne et audit externe constituent deux organes complmentaires de
la gouvernance dentreprise. Leur interaction serait ainsi un moyen de rendre
le processus daudit global plus efficace en vue dune meilleure gouvernance.
Il convient de prendre en compte dans lanalyse les dispositions rcentes sur
la gouvernance de lentreprise issues de la loi Sarbanes-Oxley, qui ont indniablement des rpercussions sur cette coopration.
Audits interne et externe : deux organes complmentaires de la

gouvernance de lentreprise
La sparation entre la proprit et le contrle engendre le risque que les dirigeants, par le biais de leurs dcisions, fassent diminuer la valeur des fonds qui
leur ont t confis. Ce phnomne est expliqu laide de la thorie de
lagence (Jensen et Meckling, 1976), laquelle envisage la possibilit dune
divergence dintrts entre le principal (lactionnaire) et lagent (le dirigeant).
La stakeholder-agency theory de Hill et Jones (1992) constitue une tentative
intressante dlargissement. Elle considre que tous les agents conomiques
Groupe Eyrolles
ces deux acteurs de la gouvernance. Professionnels et chercheurs prnent

leur coopration comme un moyen de rendre le processus daudit global plus
efficient et dajouter de la valeur au processus de gouvernance de lentreprise.
La joint audit approach se doit daccrotre la qualit des travaux des deux
types dacteurs sans porter atteinte leur indpendance.
La loi Sarbanes-Oxley et la coopration audit interne/audit externe 163
qui ont une crance lgitime sur lentreprise sont des parties prenantes ou
stakeholders, et quen tant que tels, ils sont en droit dobtenir une partie de la
rente organisationnelle et susceptibles dtre affects par des styles de gestion
inefficients (Depret et Hamdouch, 2005). Lobjectif essentiel du systme de
gouvernance savre alors de prenniser le nud de contrats constitutif de
lentreprise, et paralllement, doptimiser la latitude managriale (Charreaux, 2004). La gouvernance dentreprise recouvre ainsi lensemble des
mcanismes organisationnels qui ont pour effet de dlimiter les pouvoirs et
dinfluencer les dcisions des dirigeants, autrement dit qui gouvernent leur
conduite et dfinissent leur espace discrtionnaire (Charreaux, 1997).
Les dbats sur la gouvernance de lentreprise ont longtemps t centrs

sur les aspects financiers, cherchant amliorer la qualit du reporting
financier, en renforant notamment le rle de lauditeur lgal. Les dispositions lgales les plus rcentes en matire de gouvernance dentreprise (loi
Sarbanes-Oxley notamment) sont plus explicitement destines amliorer les mcanismes de contrle interne, se fondant sur lhypothse dune
relation forte entre le contrle interne, la qualit du reporting financier et
la gouvernance de lentreprise. Mme si elles ne font pas rfrence directement laudit interne, ces nouvelles rglementations confortent la lgitimit de la fonction daudit interne et son triple rle, eu gard la
gouvernance. Les complmentarits entre lauditeur interne et lauditeur
externe justifient leur coopration.
Laudit externe en tant quorgane de gouvernance
Groupe Eyrolles
Lauditeur externe, obligatoire dans certaines catgories dorganisations, est

un agent mandat par lassemble gnrale des actionnaires, pour contrler
et certifier linformation comptable et financire produite par lentreprise. La
norme internationale daudit externe ISA1 200 Objectif et principes gnraux en matire daudit dtats financiers prcise que lobjectif dun audit
dtats financiers est de permettre lauditeur dexprimer une opinion, selon
laquelle les tats financiers ont t tablis, dans tous leurs aspects significatifs,
conformment un rfrentiel comptable applicable. Un audit dtats financiers relve des missions dassurance .
Si lon considre que le dirigeant dentreprise doit satisfaire une multitude de
parties prenantes ou stakeholders, la seule prise en compte du lien actionnaires/
1. International Standard on Auditing.
dirigeant apparat rductrice. Lentreprise est un centre dintrts multiples.

Toutes les parties prenantes accordent de limportance linformation comptable et financire, enjeu du partage des succs et des checs de lentreprise.
Lauditeur devient alors un lment non ngligeable de lquilibre entre le
dirigeant et lensemble des autres stakeholders. On est confront une relation
dagence trs particulire, en ce sens o :
il existe en fait une multiplicit de mandants (diffrentes catgories de stakeholders) pour le mandataire quest lauditeur externe ;
ce mandataire a pour mission de contrler la rgularit, la sincrit et la
fidlit de linformation comptable et financire diffuse par un autre
mandataire des stakeholders, le dirigeant ;
dans ce cas bien particulier, le mandataire quest lauditeur externe nest
pas rmunr par ses mandants, mais par lentit contrle (Bertin et al.,
2002).
Le rapport mis par lauditeur est pour les tiers un instrument privilgi de
contrle. Il constitue un signal qui montre comment lauditeur a accompli sa
mission et quelles sont ses conclusions quant la fiabilit de linformation
financire.
La qualit de laudit externe implique que lauditeur dcouvre dventuelles fraudes ou irrgularits dans les tats financiers du client et quil
soit en mesure de les rvler effectivement (De Angelo, 1981a ;
De Angelo, 1981b). La premire condition repose sur la comptence globale de lauditeur et sur le niveau deffort quil engage dans la mission.
Ceux-ci sont garantis par la possession obligatoire dun diplme professionnel spcifique, les exigences en matire de formation continue et
lobligation de moyens laquelle il est soumis. La seconde condition
dpend du niveau dindpendance de lauditeur, cest--dire du degr
avec lequel il peut rsister aux pressions exerces par son client dans une
situation de conflit dintrt. Son indpendance est protge juridiquement et statutairement : le contenu et ltendue de la mission, les incompatibilits, les modes de nomination et de rmunration, les conditions
dexercice de la mission daudit sont dfinis dans des textes lgislatifs, dans
les normes de la profession et dans les statuts.
De plus, les mcanismes de contrle professionnel se sont intensifis ces dernires annes, notamment aux tats-Unis avec la cration du Public Company Oversight Board (PCAOB) institu par la loi Sarbanes-Oxley, et en
France avec la cration du Haut Conseil du Commissariat aux Comptes
Groupe Eyrolles
(H3C) rendue obligatoire par la loi de Scurit Financire. Enfin, lauditeur

lgal doit se rfrer un code de dontologie1.
Le triple rle de laudit interne eu gard la gouvernance
Groupe Eyrolles
Laudit interne est dfini comme une activit indpendante et objective qui
donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer et contribue crer de la
valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant,
par une approche systmatique et mthodique, ses processus de management
des risques, de contrle et de gouvernement dentreprise, et en faisant des
propositions pour renforcer leur efficacit (IIA, 1999 ; IFACI, 2002).
Les auditeurs internes portent une double casquette : ils assurent la fois une
mission dassurance et une autre de conseil. Le rle de laudit interne est dtermin par la direction et ses objectifs varient selon les exigences de celle-ci.
Adams (1994), prenant appui sur la thorie de lagence et se fondant sur
limportance de lasymtrie informationnelle entre dirigeants et actionnaires,
indique que la prsence ou non dun dpartement daudit interne dans une
organisation, ainsi que la nature des activits ralises par cette fonction,
semblent dpendre en grande partie du secteur dactivit, de la taille de la
firme et de la structure de lactionnariat. Mais, comme pour lauditeur
externe, la prise en considration de la seule relation dirigeant/actionnaire
est insuffisante pour lgitimer le rle de laudit interne, dautant que cette
fonction exerce une mission qui dpasse trs largement le cadre du domaine
financier. Laudit interne reprsente un mcanisme de rgulation des relations entre le dirigeant et les diffrentes parties prenantes. Il peut tre considr comme un cot de ddouanement support par lagent pour signaler
ses mandants (diffrents stakeholders) quil agit conformment leurs intrts.
Plusieurs facteurs semblent garantir lobjectivit et lindpendance des auditeurs internes : leur rattachement au plus haut niveau dans lorganisation et
lexistence dun canal de communication spcifique (comit daudit) permettant de rapporter les erreurs et les irrgularits (Ponemon, 1991).
1. LInternational Federation of Accountants Ethics Committee de lInternational Federation of Accountants (IFAC) a publi en juin 2005 le Code of Ethics for Professional
Accountants. LIFAC est lorganisation mondiale de la profession comptable, charge de
dvelopper des normes internationales sur laudit lgal, les missions dassurance, lthique et la formation des professionnels comptables. En France, le Code de dontologie de
la profession de commissaire aux comptes de la CNCC a t approuv par le dcret du
16 novembre 2005.
Laccent tant mis sur lindpendance de ce dispositif et son rattachement

fonctionnel au comit daudit, il pourrait tre galement vu comme un cot
de surveillance encouru par les actionnaires et les autres stakeholders, pour
protger leurs intrts.
En matire de gouvernance, lauditeur interne remplit un triple rle : il est

la fois partie prenante (ou dispositif de mise sous contrle de lorganisation), juge et conseiller. En tant que juge et conseiller, il doit fournir des valuations indpendantes objectives sur la pertinence et lefficacit de la
structure et des mcanismes de gouvernance et, agir en tant que catalyseur
du changement en prconisant des amliorations, afin daccrotre lefficacit du processus de gouvernance. Le rle de laudit interne en matire de
gouvernance dpend du degr de maturit de la structure et du processus
de gouvernance de lentreprise (IIA, 2006).
Les complmentarits entre audit interne et audit externe

Les dveloppements qui prcdent permettent de faire ressortir les diffrences, mais aussi les complmentarits, entre audit interne et audit externe.
Elles sont rsumes dans le tableau ci-aprs.
Tableau n 1 : les divergences et les complmentarits entre laudit interne
et laudit externe
Audit externe
Statut de laudit
Mandants/bnficiaires de laudit
Audit interne
Mcanisme non spcifique/

externe
Mcanisme spcifique/interne
Mcanisme obligatoire pour

certaines catgories dorganisations
Mcanisme intentionnel
Actionnaires, dans les textes

Ensemble des stakeholders,
en fait
Direction gnrale, managers

Conseil dadministration/Comit
daudit.
Ensemble des stakeholders, indirectement
Groupe Eyrolles
En pratique
Audit externe
Champ dapplication de laudit
Processus dlaboration des

tats financiers et de dtermination du rsultat
Global
Aval
Amont
Lauditeur interne identifie et value les risques avant quils ne
soient traduits dans les comptes.
Temporalit de la
mission daudit
Mission continue
Mission permanente dans les
Suivi des recommandations
textes
Mission gnralement intermittente dans les faits
Nature de la mission daudit
Mission dassurance
Mission dassurance
Mission de conseil
Position eu gard
la gouvernance
Acteur/mcanisme de gouvernance (dispositif de mise sous

contrle)
Acteur/mcanisme de gouvernance (dispositif de mise sous

contrle)
valuateur de la gouvernance
Conseiller en matire de gouvernance
Dynamique de
laudit
Stabilit
Lauditeur externe ralise le
mme type daudit chaque
anne ; il est en relation avec
les mmes interlocuteurs dans
les mmes services.
Ractivit, adaptabilit, diversit

Lauditeur planifie son travail en
rponse aux besoins de la direction ou du comit daudit ou en
fonction de lmergence de
risques ; les interlocuteurs sont
variables.
Indpendance
Protge juridiquement
Garantie par un rattachement au

plus haut niveau et une relation
troite avec le comit daudit
(quand il existe)
Diffusion du/des
rapports daudit
Diffusion large du rapport
Diffusion restreinte des rapports
Avantages spcifi- Exprience dautres entrepriques

ses et dautres secteurs
Groupe Eyrolles
Audit interne
Connaissance approfondie de
lentreprise et du secteur
Laudit externe, dont lobjectif est de certifier la rgularit, la sincrit et

limage fidle des comptes, qui ne doit pas simmiscer dans la gestion de
lentreprise et dont lindpendance est protge juridiquement, est lgitim
par le courant disciplinaire partenarial de la gouvernance. Selon cette approche, lentreprise est conue comme un nud de contrats et laudit externe
Laudit interne, parce quil remplit, ct dune mission traditionnelle

dassurance, une mission de conseil, est un mcanisme de gouvernance lgitim la fois par le courant disciplinaire et par le courant cognitif de la gouvernance. Selon ce dernier, lorganisation est apprhende comme un lieu
de connaissances et le systme de gouvernance devient lensemble des
mcanismes permettant davoir le meilleur potentiel de cration de valeur
par lapprentissage et linnovation (Charreaux, 2004). Lindpendance de
lauditeur interne ntant pas protge juridiquement comme celle de lauditeur externe, et lauditeur interne tant un membre part entire de lorganisation contrle, on pourrait tre tent de dire que laspect disciplinaire est
moins puissant que dans le cas de lauditeur externe.
On comprend alors que la coopration entre audit interne et audit externe
savre source de bienfaits non ngligeables. Le processus daudit global (audit
interne plus audit statutaire) constitue un dispositif agissant simultanment sur
les dimensions disciplinaires et cognitives du processus de cration/rpartition
de la valeur. Il participe ainsi la reconstruction de la vision financire de la
gouvernance largie aux dimensions cognitives (Charreaux, 2004).
Linteraction donne naissance des effets de synergie en matire de comptences. La multiplication des points de vue et le partage des informations
renforce la comptence de chacun.
L o existe une fonction daudit interne, lauditeur externe apprcie diffremment les qualits de rgularit et de sincrit des comptes qui lui sont
prsents. L o un auditeur externe exerce son activit, la matrise des affaires sen trouve renforce. Chacun peut se prvaloir des travaux de lautre
pour asseoir son jugement ou tayer sa dmonstration (Renard, 2006).
Si les avantages en matire de partage des connaissances et de complmentarit des comptences sont vidents, les effets de synergie en termes dindpendance restent cependant dmontrer.
Enfin, une collaboration troite des deux organes permet de raliser des conomies de cots, par rapport une situation o les deux acteurs travailleraient compltement sparment. Selon Felix et al. (2001) et Haron et al.
(2004), la participation de laudit interne laudit statutaire permet dabaisser
le montant des honoraires verss aux auditeurs externes. Cet argument revt
un intrt particulier dans un contexte de pression sur les honoraires des
contrleurs lgaux des comptes. Lefficience de lentreprise se trouve ainsi
Groupe Eyrolles
constitue lun des dispositifs mis en uvre pour empcher ou rduire les
conflits dintrts entre parties prenantes lentreprise (Charreaux, 2004).
renforce. De mme, le dveloppement du dpartement daudit interne peut

tre vu comme un stratagme de la part des dirigeants souhaitant rduire le
cot de surveillance gnr par laudit externe tout en signalant aux propritaires et aux autres stakeholders que ltendue de laudit nest pas rduite.
Aprs avoir mis en lumire les complmentarits de laudit interne et de
laudit externe, il convient de prciser les dispositions de la loi SarbanesOxley affectant laudit interne et laudit externe.
Limpact ambigu de la loi Sarbanes-Oxley sur la coopration

audit interne/audit externe
La loi Sarbanes-Oxley, nous lavons vu plus haut, renforce les obligations en

matire dinformation sur le contrle interne, pour toutes les entreprises
cotes la Bourse de New York.
Quelques prcisions lgales

La section 404 de ce texte stipule que ces socits doivent mettre un rapport sur le contrle interne li au reporting financier, affirmant que la direction est responsable dune structure de contrle interne adquate, et
contenant une valuation par le management de lefficacit du dispositif et
des procdures de contrle interne.
La section 302, elle, prcise que la direction gnrale (Chief Executive Officer)
et que le directeur financier (Chief Financial Officer) sont directement responsables de lexactitude, de la documentation et de la publication des documents financiers, ainsi que de la structure de contrle interne.
En pratique
Groupe Eyrolles
La section 302 implique que la direction gnrale et le directeur financier

certifient notamment :
qu leur connaissance, le rapport ne contient pas dlments errons ou
trompeurs ou nomet pas dinformation significative, que les tats financiers et les autres informations financires contenues dans le rapport, sont
fidles la ralit ;
quils sont responsables de la mise en uvre de contrles internes ;
/
quils ont valu lefficacit des procdures de contrle interne dans les
90 jours prcdant le rapport et quils ont prsent dans le rapport leurs
conclusions rsultant de cette valuation au sujet de lefficacit des procdures de contrle interne ;
quils ont divulgu aux auditeurs externes ainsi quau comit daudit,
toutes les dfaillances significatives relatives la conception et la mise en
uvre des procdures de contrle interne, ainsi que toute fraude qui compromet le management et toute personne implique dans les procdures de
contrle interne ;
Selon la section 404, les auditeurs externes doivent certifier lexactitude du

rapport labor par le management sur la conception, la mise en uvre et
lefficacit de la structure et des procdures de contrle interne concernant le
reporting financier.
Les consquences sur la gestion de laudit

Ces nouvelles dispositions affectent inluctablement la faon dont laudit
externe est men. En particulier, le niveau de connaissance des procdures
de contrle interne que lauditeur externe doit acqurir en vue dexprimer
une opinion sur les tats financiers1 nest pas le mme que celui dsormais
ncessaire pour certifier lexactitude du rapport sur ces contrles euxmmes. La nature, ltendue et la priodicit des tests jusque-l mis en uvre
peuvent tre insuffisantes ou inappropries pour mettre un tel jugement.
Cest ainsi quen 2003, lInternational Federation of Accountants (IFACs)
International Auditing and Assurance Standards Board (IAASB) a publi de
nouvelles normes daudit (externe) internationales, avec pour ambition
damliorer lvaluation des risques et du contrle interne par les auditeurs
lgaux2. Il sagit notamment des normes ISA 315 Connaissance de lentit
1. Afin de certifier la rgularit, la sincrit et la fidlit des tats financiers, lauditeur externe
doit apprcier les dispositifs de contrle interne de nature financire et comptable.
2. Au niveau national, de telles normes ont galement t publies. En France, par exemple, la CNCC a mis en 2006 les Normes dExercice Professionnel (NEP) 315, 330,
500, qui correspondent ladaptation des normes ISA correspondantes. La huitime
directive europenne rvise (2006) rend obligatoire lapplication des normes ISA dans
tous les pays de lUE.
Groupe Eyrolles
quils ont indiqu dans le rapport sil y a eu ou non des changements dans
les procdures de contrle interne y compris les mesures correctrices destines remdier aux faiblesses du contrle interne aprs leur valuation.
et de son environnement et valuation du risque danomalies significatives ,

ISA 330 Procdures mettre en uvre par lauditeur en fonction de son
valuation des risques et ISA 500 Preuve daudit .
Elles placent laudit par les risques au centre des diligences de lauditeur
externe et requirent principalement de celui-ci quil :
mette en uvre des procdures daudit permettant dacqurir une
meilleure connaissance de lentit et de son environnement, y compris de
son contrle interne ;
procde des valuations plus rigoureuses et plus exhaustives des risques
derreurs dans les tats financiers ;
conoive et mette en uvre des procdures daudit complmentaires en
fonction de lvaluation du risque danomalies significatives au niveau des
tats financiers (y compris des tests portant sur lefficacit du fonctionnement des contrles lorsquils sont pertinents ou ncessaires) et des assertions dans le cadre de laudit des tats financiers ;
apprcie la validit de lvaluation initiale du risque et conclut sur le
caractre suffisant et appropri des lments probants recueillis.
Le rle de lauditeur interne
Groupe Eyrolles
Si la loi Sarbanes-Oxley spcifie le rle de la direction et des auditeurs externes en matire de contrle interne, elle ne traite pas spcifiquement du rle
de lauditeur interne.
Selon lIIA (2004), limplication de laudit interne dans la mise en conformit avec la loi Sarbanes-Oxley est importante et doit tre compatible avec
les normes professionnelles. En particulier, la fonction daudit interne ne
doit pas compromettre son objectivit et son indpendance. LIIA prcise
que le dpartement daudit interne doit intervenir quatre niveaux : la
supervision du projet, le conseil et la documentation, les contrles et les tests,
laudit de projet. En ce qui concerne la supervision du projet, lauditeur
interne doit agir en tant que facilitateur entre la direction et les auditeurs
externes. LIIA prconise que lauditeur interne se comporte en coordinateur
entre la direction et les auditeurs externes, en ce qui concerne le champ et le
programme des contrles. Ainsi, il accrot la conscience des dirigeants en
matire de risques et de contrles, amliore lenvironnement de contrle et
contribue la rduction des honoraires des auditeurs externes. En ce qui
concerne laudit de projet, il joue un rle dassurance des diffrentes parties
prenantes (y compris lauditeur externe). Il peut mme tre amen donner

une opinion sur les procdures de contrle interne financier.
Quant limpact de ces volutions sur la coopration audit interne/audit

externe, elles paraissent ambigus. En effet, dun ct, elles semblent inciter
une multiplication des changes, une intensification de la communication
entre lauditeur interne et lauditeur externe et une utilisation accrue des
travaux de laudit interne par laudit externe.
Mais de lautre ct, on peut concevoir que les auditeurs externes, confronts un accroissement de leur niveau de responsabilit et dengagement en
matire dvaluation du contrle interne, souhaitent refaire par eux-mmes
les tests, de peur de porter atteinte leur indpendance, en sappuyant sur des
travaux et des documents raliss par des membres de lentreprise contrle.
Il importe alors de se pencher sur les dterminants de ltendue de la collaboration audit interne/audit externe.
Les dterminants de lampleur de coopration

audit interne/audit externe
Les modalits de la coopration audit interne/audit externe sont formellement prvues par les normes dictes par les deux professions. Elles impliquent diffrentes formes de collaboration. Les conditions de linteraction
entre les deux professions sont ensuite mises en lumire.
Les modalits et les formes de la coopration audit interne/

audit externe
Les deux professions sont rgies au niveau international par des normes professionnelles dictes par leur association professionnelle respective : lIIA et
lIFAC. Ces organismes ont publi des normes prcisant le domaine et
ltendue de la collaboration entre laudit interne et laudit externe :
Groupe Eyrolles
Si lvaluation du contrle interne a toujours constitu une proccupation

capitale et un point de rencontre de laudit interne et de laudit externe,
lapprhension du contrle interne par les deux professions se rapproche la
suite des rglementations rcentes : le contrle interne nest plus pour laudit
externe un simple moyen , il est devenu un objectif , comme il lest
depuis toujours pour laudit interne. Il faut cependant noter que lauditeur
externe ne sintresse quau contrle interne comptable et financier.
la norme internationale pour la pratique professionnelle de laudit interne

2 050 mise par lIIA ;
lInternational Standard of Audit ISA 610 diffuse par lIFAC.
Nous concentrerons notre attention sur ces deux textes de porte internationale qui manent des deux organisations professionnelles, sachant quau
niveau national, des normes spcifiques sont publies par les organismes professionnels de laudit externe1 et quil existe dautres textes de porte internationale, mais qui ne concernent que certains secteurs dactivit, en
particulier le domaine bancaire2.
Comparatif
Une comparaison des normes 2 050 de lIIA et 610 de lIFAC est mene au
travers des quatre points suivants (voir tableau n 2) :
lobjectif et lintrt dune coopration audit interne/audit externe ;
le champ dintervention et la dlimitation des responsabilits ;
lvaluation respective des travaux et des performances ;
les rencontres et les informations changes.
Tableau n 2 - Une comparaison des normes IIA 2 050 et ISA 610
Groupe Eyrolles
Objectifs et
intrt de la
coopration
Audit interne
Norme IIA 2 050
Audit externe
Norme ISA 610
Le responsable de laudit interne

doit partager les informations et
coordonner les activits avec les
autres prestataires internes et externes de services dassurance et de
conseil, de manire assurer une
couverture adquate des travaux
et viter dans toute la mesure
du possible les double emplois.
Lauditeur externe doit prendre en

compte les travaux de laudit interne
ainsi que leur incidence potentielle
sur les procdures daudit externe.
() Certains aspects de laudit
interne peuvent tre utiles pour
dfinir la nature, le calendrier et
ltendue des procdures daudit
externe.
1. Par exemple la NEP (Norme dExercice Professionnel) 610 produite en 2007 par la
CNCC en France et adaptant la norme ISA 610. Rappelons que la huitime directive
europenne (2006) rend obligatoire lusage des standards internationaux daudit (ISA)
dans la conduite des audits statutaires en Europe.
2. Le Comit de Ble, dans son document publi en aot 2001 sur laudit interne dans
les banques et les relations des autorits de tutelle avec les auditeurs stipule que les
autorits de tutelle doivent encourager les auditeurs internes et externes de faon
rendre leur collaboration aussi relle et efficace que possible. () La coopration entre
autorit de tutelle, auditeur interne et auditeur externe a pour objectif de rendre les
travaux de toutes les parties concernes plus rationnels afin doptimiser le contrle.
Audit interne
Norme IIA 2 050
Audit externe
Norme ISA 610
Champ
dintervention et dlimitation des
responsabilits
Le champ dintervention de lauditeur interne1, ainsi que celui du

contrleur lgal des comptes sont
rappels. Il est en particulier indiqu que le responsable de laudit
interne peut accepter deffectuer
des travaux pour les auditeurs
externes lors de la certification
des comptes .
Responsabilit de la coordination audit interne/audit externe.
La coordination doit relever du
responsable de laudit interne2.
doit communiquer la direction
gnrale et au Conseil les conclusions concernant la coordination
entre auditeurs internes et auditeurs externes.
Lauditeur externe doit acqurir

une connaissance suffisante des
travaux de laudit interne pour identifier et valuer le risque danomalies significatives au niveau des
tats financiers et pour concevoir
et mettre en uvre des procdures daudit complmentaires.
La norme dfinit alors laudit interne
et ses missions.
Responsabilit de lopinion
daudit
Lauditeur externe conserve
lentire responsabilit de lopinion
daudit exprime.
valuation
respective
valuation de la performance
des auditeurs externes
En exerant son rle de surveillance, le Conseil peut demander au responsable de laudit
interne dvaluer la performance
des auditeurs externes. Elle peut
couvrir notamment les points suivants : connaissances et expriences professionnelles,
connaissance du secteur dactivit
de lorganisation, indpendance,
expertises directement lies la
mission, anticipation des besoins
de lorganisation et ractivit, relative stabilit des principaux collaborateurs, qualit des relations de
travail, respect des engagements
contractuels. ()
valuation de la fonction daudit

interne
Lauditeur externe doit procder
une valuation de la fonction daudit
interne lorsquil savre que celle-ci
peut tre utile son valuation des
risques.
Les critres importants suivants
sont considrer : statut dans
lorganisation, tendue de la fonction, comptences techniques, diligences professionnelles.
valuation des travaux de laudit
interne
Lorsque lauditeur externe a
lintention dutiliser des travaux spcifiques de laudit interne, il doit valuer et examiner ces travaux. Cette
valuation peut porter sur la
supervision et la documentation des
1. Dcrit dans la norme 2 100.

2. La norme 2 050 prcise galement : La surveillance des travaux de commissariat aux
comptes, y compris la coordination avec laudit interne, est du ressort du Conseil. Le
responsable de laudit interne doit avoir en fait lappui du Conseil pour coordonner
efficacement les travaux daudit .
Groupe Eyrolles
Groupe Eyrolles
Rencontres
et changes
dinformations2
Audit interne
Norme IIA 2 050
Audit externe
Norme ISA 610
Participation de laudit interne la

slection des auditeurs externes
La participation de lauditeur
interne au processus de slection et
dvaluation des commissaires aux
comptes de lorganisation ou la
dcision concernant le renouvellement de leur mandat peut revtir des
formes diverses : participation nulle,
rle de conseil auprs du management ou du comit daudit, assistance ou participation au processus,
gestion ou audit du processus.
Communication des valuations
accompagne, le cas chant, ses
conclusions sur la coordination entre
laudit interne et laudit externe, de
commentaires sur les performances
des auditeurs externes1 .
travaux, le recueil dlments probants, la cohrence et la pertinence

des travaux et des conclusions,
lapport de solutions satisfaisantes
aux exceptions et aux questions
inhabituelles mises en vidence par
les travaux de laudit interne .
Cet examen peut ncessiter le
contrle de domaines dj vrifis
par laudit interne, lexamen dautres
domaines similaires et lobservation des procdures daudit interne
.
Rapport sur les valuations
Lauditeur externe consignera ses
conclusions rsultant de lvaluation
des travaux spcifiques de laudit
interne et de lexamen de ceux-ci.
La coordination des travaux

daudit implique des rencontres
priodiques pour discuter des
sujets dintrt mutuel : couverture des zones daudit, accs rciproque aux programmes et aux
dossiers de travail, change des
rapports daudit et des notes de
synthse adresss au management, comprhension mutuelle des
techniques, des mthodes et de la
terminologie daudit. Il peut tre
efficace dutiliser des techniques,
mthodes, rfrentiels et une terminologie similaires.
La coordination avec laudit

interne est plus efficace lorsque des
runions ont lieu des intervalles rguliers durant la priode.
Lauditeur externe aura besoin
dtre inform des rapports daudit
interne lintressant et den avoir
communication. Il aura galement
besoin dtre tenu inform de toute
question significative dont lauditeur
interne a eu connaissance et susceptible davoir une incidence sur
ses propres travaux. De mme,
lauditeur externe informera en
principe lauditeur interne de toute
1. LIfAcI, dans sa version franaise de la norme, ajoute : Laudit interne peut galement
jouer un rle fondamental en alertant la direction gnrale et/ou le comit daudit
lorsque la pression exerce sur les commissaires aux comptes et les rductions dhonoraires ne permettent plus dassurer lefficacit et la qualit de leurs travaux de
contrle.
2. Les changes dinformations doivent respecter les rgles de confidentialit attaches
aux deux fonctions. Celles-ci sont prcises par la norme 2 440 de lIIA, pour ce qui
est de laudit interne et dans le Code de dontologie de lIFAC, pour ce qui est de
laudit externe.
Audit externe
Norme ISA 610
Le responsable de laudit interne question importante pouvant avoir

une incidence sur les travaux de
doit consulter les auditeurs
laudit interne.
externes et prendre connaissance de leurs observations [au
Conseil], qui peuvent porter sur les
points suivants : facteurs susceptibles dinfluer sur lindpendance
des auditeurs externes, faiblesses
de contrle interne significatives,
erreurs et irrgularits, actes illgaux, avis du management et estimations comptables, ajustements
daudit significatifs, dsaccords
avec le management, difficults
rencontres lors de laudit. .
Une reformulation de lISA 610 est en cours. Des propositions sont avances
par lIFAC, mais ne sont pas encore valides lheure o nous rdigeons
cette contribution. Pour information, lIFAC envisage essentiellement trois
actions. Il sagit tout dabord de supprimer certaines phrases redondantes
avec des informations contenues dans une autre norme.
Il faut galement donner un autre statut certains paragraphes, qui sont
levs au rang dobjectif ou dexigence. Notamment, la nouvelle version
pourrait prciser que lobjectif de lauditeur externe est dacqurir une
connaissance suffisante de la fonction daudit interne et de dterminer si les
activits de la fonction daudit interne sont utiles pour programmer et raliser laudit, si elles sont pertinentes, leur effet sur les procdures mises en
uvre par lauditeur externe. De mme, lIFAC pourrait considrer comme
imprative lvaluation des contraintes et des restrictions imposes par la
direction et pesant sur la fonction daudit interne.
Enfin, la troisime action consiste intgrer de nouvelles informations afin
de rendre la norme ISA 610 plus cohrente avec les normes mises rcemment. Par exemple, on pourrait lire : lauditeur veillera acqurir une
connaissance suffisante de la fonction daudit interne en conjonction avec le
contrle interne.
Ainsi, les deux normes reconnaissent la complmentarit des deux professions et lintrt dune coopration entre elles, afin daccrotre lefficacit et
lefficience du processus daudit global. Elles suggrent nanmoins la possibilit de divergences dans la collaboration audit interne/audit externe.
Groupe Eyrolles
Audit interne
Norme IIA 2 050
Groupe Eyrolles
Quelques divergences
Dune part, linteraction audit interne/audit externe peut tre absente, occasionnelle, rgulire ou frquente. Les normes mettent laccent sur la ncessit pour les auditeurs internes et externes de se rencontrer rgulirement.
Cependant, elles ne nous disent rien quant la frquence et la dure de ces
runions. De mme, elles ne prcisent pas la configuration de ces
rencontres : runions en tte--tte, en prsence de membres du comit
daudit, en prsence de la direction gnrale, etc.
Dautre part, la coopration revt plusieurs formes. En labsence de collaboration, on parlera de simple coexistence des deux organes de gouvernance.
Quant au niveau suivant, il relve de lintgration des travaux de laudit
interne par laudit externe. Les auditeurs externes sappuient sur les travaux
des auditeurs internes de deux faons : soit en leur demandant deffectuer
des tches spcifiques, soit en faisant confiance aux tests et aux rapports quils
ont raliss de leur ct. Cependant, lauditeur externe ne saurait utiliser les
travaux de laudit interne sans avoir valu auparavant leur qualit intrinsque et la qualit de leurs auteurs. Laudit interne peut alors tre
subordonn laudit externe. En aucun cas, lauditeur externe ne peut
tre subordonn laudit interne. La norme ISA 610 met laccent sur
cette approche de la coopration.
Enfin, le dernier niveau est celui de partenariat. Dun ct, chaque acteur a
besoin de lautre pour atteindre ses propres objectifs. De lautre, il sagit de
mettre en commun, de partager et de produire conjointement des connaissances, de svaluer rciproquement, afin datteindre un objectif commun :
accrotre lefficacit du processus daudit global. En vue dune meilleure
comprhension et dune plus grande efficacit, il est primordial que les deux
acteurs utilisent le mme langage, les mmes rfrentiels. Nous pensons l au
rfrentiel de contrle interne, notamment. Le partenariat peut tre informel ou formel. La formalisation peut tre organisationnelle (supervision de
la part du comit daudit) ou procdurale (validation, valuation). Le partenariat suppose une interaction symtrique1. La norme IIA 2 050 privilgie
cette approche de la coopration.
1. Elle se caractrise par lgalit et la minimisation de la diffrence, tandis quune interaction complmentaire se fonde sur la maximisation de la diffrence. Dans la relation
complmentaire, lun des partenaires occupe une position diversement dsigne
comme suprieure, premire ou haute (one-up), et lautre la position correspondante dite infrieure, seconde ou basse (one-down). Le contexte social ou culturel
fixe dans certains cas une relation complmentaire. (Watzlawick, P. et al., Une logique de
la communication, Le Seuil, 1972).
Nous estimons que le partenariat est la solution la mieux mme dajouter

de la valeur la gouvernance de lentreprise et que lauditeur interne na pas
traiter exclusivement ou essentiellement du contrle interne financier.
Lauditeur externe ne doit pas considrer laudit interne comme une simple
ressource maison pour la ralisation de son travail, mais respecter la valeur
de la contribution spcifique de cette fonction (ECIIA, 2005).
Quelle que soit sa forme, la coopration implique confiance et reconnaissance mutuelles.
Ltendue de la collaboration est influence par lorientation des travaux des

auditeurs internes, leur disponibilit, la qualit de la coordination entre les
auditeurs internes et externes, les besoins de lauditeur externe et sa
confiance dans les travaux de laudit interne.
Lauditeur externe recherchera laide de laudit interne si les travaux et les
connaissances de ce dernier sont spcifiques. En particulier, un secteur
dactivit et/ou une organisation complexes peuvent exercer une influence
sur le niveau dinteraction. Par ailleurs, la qualit de laudit interne influence
le degr de confiance de lauditeur externe dans les travaux de laudit
interne. Enfin, lexistence dun comit daudit efficace semble promouvoir la
coopration entre laudit interne et laudit externe.
Un secteur dactivit et/ou une organisation complexe(s)

La thorie des cots de transaction (Williamson, 1985 et 1991) est approprie pour expliquer limpact du niveau de complexit du secteur dactivit
et de lorganisation sur la coopration audit interne/audit externe.
Cette thorie tudie pourquoi il existe, ct du march, des modes alternatifs de coordination des activits des agents conomiques, telles que les organisations et plus spcifiquement lentreprise. Il existe un cot (de transaction)
recourir au march. Plusieurs facteurs sont lorigine des cots de
transaction : dune part, humains (opportunisme dans les transactions, nature
de linformation, rationalit limite) et, dautre part, lis lenvironnement
de lentreprise (incertitude1, spcificit des actifs2, frquence des transac1. Lincertitude renvoie la survenance dalas lis aux transactions.
2. Un actif, matriel ou humain, est spcifique quand une transaction requiert un investissement durable et que celui-ci est peu (ou non) redployable sur une autre transaction.
Groupe Eyrolles
Les conditions de la coopration audit interne/audit externe
tions). Lentreprise existe, car elle permet de rduire les cots de transaction :
un contrat unit plusieurs personnes pour effectuer des tches sans recourir au
march et donc au prix.
Morill et Morill (2003), se fondant sur la thorie des cots de transaction,
dmontrent que les auditeurs internes sont davantage impliqus dans des
audits lgaux qui exigent une importante connaissance spcifique. Linvestissement spcifique reprsente un dterminant plus important que lincertitude comportementale, pour expliquer lengagement des auditeurs internes
dans laudit statutaire.
En pratique
Dans une entreprise industrielle trs internationalise et trs diversifie, ou
oprant dans un secteur dactivit complexe (exploration ptrolire, etc.),
les rapports des missions daudit interne apportent une connaissance prcieuse des activits oprationnelles aux auditeurs externes, ce qui les aide
comprendre lactivit et mieux valuer les risques.
On peut se demander dans quelle mesure lanciennet de la relation de

lauditeur externe avec lentreprise ne modre pas lassociation entre linvestissement spcifique et la coopration auditeur interne/auditeur externe.
Un audit interne de qualit

La norme ISA 610 distingue la qualit de la fonction daudit interne de celle
des travaux de laudit interne. Nous choisissons volontairement le concept
qualit de laudit interne , qui englobe les deux dimensions.
Groupe Eyrolles
LIfAcI (2002) affirme que la coopration audit interne/audit externe

dpend de lexistence dun service daudit interne comptent, indpendant, disposant de moyens adapts sa mission, respectueux des normes pour
la pratique professionnelle de laudit interne et mme dapprhender les
techniques, les mthodes et la terminologie des auditeurs externes .
De nombreux auteurs, pour la plupart anglo-saxons, ont mis en vidence
que le degr de confiance des auditeurs externes dans le travail de lauditeur
interne et leur niveau dinteraction dpendent de la qualit de laudit interne
(Haron et al., 2004 ; Felix et al., 2001). Le niveau dobjectivit et dindpendance, le niveau de comptence et la performance des auditeurs internes
constituent des lments dterminants (Krishnamoorthy, 2002). Il apparat
que ces trois composantes de la qualit sont lies entre elles.
La nature de la relation entre les dirigeants et la fonction daudit interne peut

compromettre lobjectivit de laudit interne et porter prjudice son
indpendance. Si lon se rfre la thorie de lagence, les dirigeants peuvent
inciter les auditeurs internes ne pas mettre en lumire dventuels dysfonctionnements traduisant leur incomptence ou leurs pratiques frauduleuses.
Plumlee (1985), Harrell et al. (1989) et Al-Twaijry et al. (2003) confirment
lexistence de menaces lindpendance de laudit interne.
En pratique
Dans certains pays et dans certaines entreprises, les auditeurs internes rapportent uniquement aux managers, ont un champ dactivit limit, une libert
dinvestigation rduite et entreprennent parfois des activits loignes de
laudit. Harrell et al. (1989) avancent que les auditeurs membres de lIIA sont
plus susceptibles de rsister aux diverses pressions que les autres.
Le niveau dautorit devant lequel les auditeurs internes sont responsables est
le plus important des critres affectant le niveau dindpendance et dobjectivit des auditeurs internes. Et seul un service daudit interne indpendant est
peru comme performant (Clark et al., 1981).
Les opportunits de carrire offertes par lentreprise constituent un autre facteur prendre en compte. Si elles sont susceptibles daccrotre la motivation
et la performance de laudit interne (Albrecht et al., 1988 ; Ridley et Chambers, 1998), elles peuvent galement porter atteinte lobjectivit des auditeurs en les rendant plus rticents sopposer un audit qui pourrait tre
leur futur suprieur hirarchique (Goodwin et Yeo, 2001).
Un dilemme comparable existe lorsque les auditeurs assument des fonctions
de conseil. Le fait que lauditeur interne soit la fois partie prenante au processus de gouvernance de lentreprise et valuateur de ce mme processus
prsente un danger. Plumlee (1985) montre que le fait pour un auditeur
interne davoir particip la conception dun systme de contrle interne
peut influencer ses jugements ultrieurs sur la qualit de ce dispositif.
Groupe Eyrolles
Zain et al. (2006) indiquent une association positive entre la taille du dpartement daudit interne et le niveau dexprience en audit des personnes du
dpartement, dune part, et la contribution de laudit interne laudit
externe, dautre part. Les auteurs ne prcisent pas si le niveau dexprience
en audit des auditeurs internes est en audit interne ou en audit externe.
Bien que le rle de conseil affecte lobjectivit perue de lauditeur interne,

elle na quun effet limit sur la phase de planification de laudit externe. On
observe une augmentation du nombre dheures de travail budgtes, seulement si lauditeur interne est susceptible de recevoir une prime de motivation (Dezoort et al., 2001).
Felix et al. (2001) indiquent que la confiance des auditeurs externes dans les
travaux de laudit interne est influence par leur perception de la qualit de la
fonction daudit interne, ainsi que, en fonction du niveau de risque inhrent1, la disponibilit des auditeurs internes et ltendue de la coordination
entre auditeurs externes et internes.
Mais, si lon se rfre toujours la thorie de lagence, en dcidant dimpliquer fortement les auditeurs internes dans laudit externe, les dirigeants peuvent aussi chercher protger leurs propres intrts au lieu de servir ceux de
leurs mandants. En effet, ils peuvent souhaiter empcher les auditeurs internes de conduire leurs activits habituelles, sil existe une probabilit que des
preuves de leur incomptence ou de leur inefficience soient dcouvertes.
leur tour, les auditeurs internes peuvent ne pas se satisfaire de leur rle de
subordonns de lauditeur statutaire et devenir moins performants (Adams,
1994). Le tableau ci-aprs rcapitule les principaux critres permettant de
porter un jugement sur les trois dimensions dj cites de la qualit de laudit
interne : comptence, performance, objectivit et indpendance.
Tableau n 3 - La qualit de laudit interne (adapt de Krishnamoorthy, 2002)
Groupe Eyrolles
Qualit de laudit interne

Comptence
Performance
Objectivit et indpendance
Niveau dexprience professionnelle

Diplmes et certifications
professionnelles
Affiliation professionnelle
Taille du dpartement
daudit interne
Quantit des documents de

travail et des rapports
Qualit des documents de
travail et des rapports
Champ dactivit de laudit
interne
Rattachement au plus haut

niveau
Absence de conflits dintrts
Absence de primes de motivation
1. Selon la norme ISA 200, le risque inhrent correspond la possibilit quune assertion
comporte une anomalie qui pourrait tre significative individuellement ou cumule
avec dautres anomalies, nonobstant les contrles existants. Il sagit dun risque propre
lentit, indpendamment de laudit des tats financiers.
La qualit et plus prcisment lindpendance de laudit interne, peut tre

renforce lorsque le dpartement daudit interne dispose dans lentreprise de
linterlocuteur privilgi quest le comit daudit.
Le comit daudit est dfini par la loi Sarbanes-Oxley comme un corps

consultatif et dcisionnaire manant du conseil dadministration. Il est un
autre acteur cl de la gouvernance, qui promeut la coopration entre laudit
interne et laudit externe par le biais de son activit de surveillance et de
supervision, de deux faons :
en protgeant lindpendance de laudit interne et de laudit externe ;
en adoptant une vision intgre de la fonction daudit et en veillant la
coordination entre audit interne et audit externe.
Sur le dernier point, la loi Sarbanes-Oxley, qui rend obligatoire le comit
daudit pour toutes les socits par actions et exige lindpendance1 de tous
ses membres ainsi quune expertise en matire comptable et financire,
linvestit de tout pouvoir de superviser le processus daudit. Dj en 1999, les
travaux de Braiotta, cits par Piot (2005), mettaient en vidence que, dans le
contexte nord-amricain, le comit daudit devait effectuer la consolidation des programmes daudit interne et externe pour viter les redondances
et minimiser lefficience de la vrification .
En ce qui concerne la protection de lindpendance de lauditeur externe, la
loi Sarbanes-Oxley (Sections 301, 204, 301) et le rglement relatif au comit
daudit de la Securities Exchange Commission2, mis en avril 2003, prvoient notamment que :
le comit daudit est directement responsable de la nomination, de la
rmunration et de la supervision des auditeurs de la socit et de la surveillance de leurs travaux (y compris la rsolution de tout conflit entre la
direction et les auditeurs propos du reporting financier) ;
le comit daudit () doit pr-approuver tout service fourni par lauditeur (autre que la certification) ;
1. Selon ce texte, lindpendance des membres du comit daudit implique que les personnes sigeant au comit daudit ne sauraient : (i) recevoir de la socit une rmunration au titre de services de conseil, consulting ou autres rendus la socit ou (ii) tre
des affilis de la socit mettrice ou dune de ses filiales.
2. Rule 10A-3 de lExchange Act : Standards Relating to Listed Companies Audit Committees,
publie le 10 avril 2003.
Groupe Eyrolles
Lexistence dun comit daudit efficace
lauditeur externe doit informer le comit daudit des traitements de

linformation comptable qui ne respecteraient pas les principes comptables gnralement reconnus et des changes crits avec la direction.
Quant la protection de lindpendance de lauditeur interne, la Securities
Exchange Commission, toujours dans son rglement relatif au comit
daudit (2003), stipule que les socits cotes aux tats-Unis doivent disposer
dune fonction daudit interne, place sous la supervision du comit daudit.
Un comit daudit efficace, cest--dire indpendant et expert en matire

comptable et financire, est susceptible de renforcer le poids et lefficacit de
laudit interne (Braiotta, 1999 ; Verschoor, 1992). Pour cela, ce dernier doit
rendre compte directement au comit daudit, ce qui accrot son indpendance (Scarbrough et al., 1998).
En pratique
La tenue de runions rgulires entre le comit daudit et les auditeurs internes constitue un important moyen damliorer lefficacit de laudit interne
(Verschoor, 1992 ; Scarbrough et al., 1998). En raison de la nature sensible des rsultats de laudit interne, les runions doivent idalement se
drouler en labsence des dirigeants (Kalbers, 1992 ; Braiotta, 1999). Le
niveau dinteraction entre le comit daudit et la fonction daudit interne est
plus lev (frquence plus importante des runions en priv ), lorsque le
comit daudit se compose uniquement dadministrateurs indpendants
(Goodwin et Yeo, 2001 ; Scarbrough et al., 1998).
Groupe Eyrolles
Il est galement souhaitable que le comit daudit soit impliqu dans la

nomination et le congdiement du responsable de laudit interne (Scarbrough et al., 1998 ; McHugh et Raghunandan, 1994). La perception de ce
rle du comit daudit devrait inciter les auditeurs assumer leurs responsabilits et communiquer leurs rsultats objectivement, sans crainte de menaces
de la part des managers. Scarbrough et al. (1998) ont mis au jour une association positive de laccs priv du responsable de laudit interne au comit
daudit avec limplication de ce dernier dans la dcision de congdiement de
lauditeur interne, dune part, et avec la frquence des runions, dautre part.
Lindpendance des membres du comit est associe aux variables comme la
frquence et la longueur des runions, le caractre priv de ces dernires et
limplication dans les dcisions de nomination du responsable de laudit
interne. La proportion des membres du comit avec une exprience en
comptabilit ou en finance est associe la mesure dans laquelle ils revoient

le travail de laudit interne (Goodwin, 2003 ; Raghunandan et al., 2001).
Les travaux de recherche sont trop peu nombreux pour en tirer des conclusions dfinitives. Les rsultats de ltude de Goodwin (2003) laissent entrevoir que le pays (march des capitaux dvelopp ou march des capitaux non
dvelopp) et le secteur (public ou priv) exercent une influence sur la relation comit daudit/audit interne, refltant les diffrences entre laccent mis
sur les questions de la gouvernance de lentreprise et limportance des comits daudit dans diffrents pays et au sein des deux secteurs.
POUR CONCLURE
La coopration audit interne/audit externe contribue amliorer le processus de
gouvernance de lentreprise, sous certaines conditions.
Les dispositions lgislatives issues de la loi Sarbanes-Oxley et les rsultats des
travaux de recherche suggrent que les entreprises ont la possibilit daccrotre
ltendue de la coopration audit interne/audit externe afin de faire merger un
vritable partenariat, en investissant dans la qualit de laudit interne, en mnageant
du temps libre aux auditeurs internes et en disposant dun comit daudit efficace,
qui facilite entre autres la coordination entre auditeurs internes et externes.
Si, dans certains cas, lapplication des dispositions de la loi Sarbanes-Oxley a pu
dtriorer la collaboration entre auditeur interne et auditeur externe, nous estimons
que ce phnomne est transitoire. La professionnalisation de laudit interne et la
certification qualit des directions daudit interne, laquelle connat aujourdhui un
essor important, contribuent renforcer la crdibilit et la lgitimit de la fonction
aux yeux des auditeurs externes et seront amenes jouer un rle important dans
lmergence dune symtrie partenariale avec ces derniers.
Groupe Eyrolles
Quant Zain et al. (2006), ils mettent en vidence que les caractristiques du
comit daudit influencent lvaluation par les auditeurs internes de leur
contribution laudit externe. En particulier, il existe une association positive entre lapprciation par les auditeurs internes de leur contribution
laudit externe et trois caractristiques des comits daudit : la proportion des
membres indpendants du comit daudit, le niveau de connaissance en
comptabilit et en audit des membres du comit daudit, et les revues par le
comit daudit des programmes daudit interne, des budgets daudit interne
et de la coordination avec les auditeurs externes.
Chapitre 7
thique et audit interne :

la problmatique du whistleblowing
PAR CHRISTIAN PRAT DIT HAURET,
Professeur des Universits, Universit Montesquieu

Bordeaux V
a performance des organisations est plus que jamais au centre des proccupations en raison dune concurrence mondiale exacerbe. Lune
des composantes de cette performance rside dans le comportement thique
et responsable de ses diffrents acteurs. Or, la fin du xxe sicle, diffrents
scandales financiers, lis notamment aux affaires Enron et Worldcom, ont
clabouss la rputation dentreprises cotes et cr un climat de dfiance.
Ainsi, en juillet 2002, suite aux diffrents scandales que les tats-Unis ont
connus, le congrs a adopt la loi Sarbanes-Oxley qui impose aux socits
amricaines ou trangres cotes dans ce pays, ainsi qu leurs filiales
ltranger, de mettre en place un systme permettant aux salaris de rapporter anonymement les fraudes et les malversations comptables et financires
dont ils auraient connaissance. Le whistleblowing que lon peut traduire par
lexpression donner un coup de sifflet et qui savre une pratique rpandue dans les entreprises anglo-saxonnes dsigne donc la possibilit pour les
salaris de faire part leur hirarchie ou un comit interne des malversations dcouvertes au sein de leur organisation.
Groupe Eyrolles
Ces diffrents scandales voqus plus haut ont replac au centre des dbats la
dimension thique des diffrents acteurs de lorganisation et son influence
sur une gouvernance optimise. Mercier (2000) cite Arrow : Un contrle
dordre thique est ncessaire, les systmes juridiques et conomiques nincitant pas forcment les organisations prendre en compte limpact moral de
leurs dcisions. Il poursuit sa rflexion en notant quil est dans lintrt
des dirigeants de mieux prendre en compte le contenu thique de leur organisation dans le but de justifier leurs activits (en fonction de normes thiques et de valeurs) et de se prmunir contre dventuelles actions
rpressives .
Linstauration du whistleblowing par la loi Sarbanes-Oxley pose la problmatique de sa lgitimit thique et des modalits dapplication et de contrle,
tches qui pourraient tre confies au service daudit interne des organisations. LIfAcI dfinit laudit interne comme une activit indpendante qui
donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer et contribue crer de la
valeur ajoute . Depuis une vingtaine dannes, les entreprises se sont dotes
de cette nouvelle fonction qui contribue amliorer la performance des
organisations. La mission des auditeurs internes consiste ainsi mettre en
place et vrifier la correcte application des procdures de contrle interne
dfinies comme les diffrents dispositifs instaurs par une socit pour dtecter, en matire de comptes, de rmunration, de stratgie, dinvestissement,
ou bien encore de risques, les fraudes, les couvertures insuffisantes, la faiblesse des performances, les dysfonctionnements et le non-respect de la
rglementation.
Le COSO, lui, dfinit le contrle interne comme lensemble des dispositifs
mis en uvre par le conseil dadministration, les dirigeants, le personnel
dune organisation et permettant de donner une assurance raisonnable quant
latteinte des objectifs suivants :
la ralisation et loptimisation des oprations ;
la fiabilit des informations financires ;
la conformit aux lois et aux rglements en vigueur.
Laudit interne, lorigine garant de la scurit (protection des actifs) a progressivement largi son champ la garantie de la permanence, de lefficacit
et de lefficience du contrle de la mise en uvre de la stratgie, de lapplication des politiques, en vue datteindre les objectifs viss (Bouquin, 2000).
Indniablement, la dimension thique fait partie intgrante de la fonction
dauditeur interne. Selon lEncyclopdie Larousse, lthique est la mesure de
la morale. Lorigine grecque se trouve dans thicos et dans thos, murs ,
caractre . La dfinition des termes de morale, dthique ou de dontologie est complexe. Canto-Sperber et Ogien (2004) les dfinissent distinctement ainsi : La morale dsigne le plus souvent lhritage commun des
valeurs universelles qui sappliquent aux actions des hommes ; par contraste,
le terme dthique est souvent employ pour dsigner le domaine plus restreint des actions lies la vie humaine Quant au terme dontologie, qui
vient du grec deonta, les devoirs , ce qui est d ou requis, il dsigne ce quil
convient de faire dans une situation sociale donne, en particulier lensemble
Groupe Eyrolles
thique et audit interne : la problmatique du whistleblowing 187
des devoirs lis lexercice dune profession. Le point de dpart de la

rflexion thique est la libert de lhomme et sa capacit anticiper les
consquences de ses actes. Lthique renvoie aux concepts suivants : la conscience de soi, la volont indpendante, limagination et la conscience du
bien ou du mal. Lthique constitue avant tout une affaire de choix personnel
et donne un sens tout comportement. Lthique est lexpression dun
besoin ou dune qute de sens dfinie par Ricur (1990) comme le dsir
dune vie accomplie, qui fonde lestime de soi-mme, avec et pour les autres,
dans le cadre dinstitutions justes . Ricur associe trois composantes la
problmatique thique :
la composante subjective, correspondant la vie bonne pour soi ;
la composante interpersonnelle, concernant le rapport autrui ;
la composante socitale renvoyant aux institutions.
Il souligne quil revient lide de lthos dembrasser et darticuler dans une
unique formule, le souci de soi, le souci dautrui et le souci de linstitution.
Le whistleblowing, nouvel instrument utilis outre-Atlantique, fait dbat en
France. Est-il ncessaire pour attirer lattention sur des comportements frauduleux dans les organisations ou traduit-il le retour de comportements de
dlation au sein des organisations ? Comment peut-il sappliquer ? Dans quel
primtre ? Qui contrlera cette pratique ? Telles sont les diffrentes questions qui seront explores dans le cadre de cette contribution.
Un dilemme thique pour les auditeurs internes
Groupe Eyrolles
Nature du whistleblowing et lgitimit thique

La problmatique du whistleblowing a emerg de faon prgnante en ce dbut
du XXIe sicle la suite des scandales financiers cits plus haut. Ragissant
ces vnements, le lgislateur amricain a donc adopt la loi SarbanesOxley, qui exige des socits cotes aux tats-Unis la mise en place de procdures et de systmes permettant aux salaris de toute entreprise de rapporter au comit daudit les fraudes financires dcouvertes au sein de leur
entreprise. Les entreprises franaises sont indirectement concernes dans la
mesure o elles possdent des filiales trangres ou si la socit mre est cote
sur les marchs boursiers amricains.
Sur le principe, le whistleblowing pose un vritable cas de conscience
(De Kerorguen, 2005). Cet auteur se pose la question de savoir sil prsente
un risque de rglement de compte sous couvert dthique ou bien une rupture de silence salutaire. La question du primtre de lexercice de ce droit
dalerte est entire. Sur quels faits le droit dalerte doit-il porter et dans quelles conditions peut-il tre exerc ?
La premire version est celle du cercle dthique des affaires (2005). Il

sagit l dune alerte thique en tant quoutil, permettant aux salaris
de participer la fois la prvention des risques gnrs par lentreprise et
la promotion de ses valeurs. Pour le groupe de travail cr par le cercle
dthique des affaires, sil est mis en place en lien avec les salaris ou leurs
reprsentants et quil est conu comme un canal nouveau de libert dexpression et
non pas comme un mcanisme de contrle des salaris les uns par rapport aux
autres, alors le whistleblowing la franaise peut se rvler un outil juste et efficace pour lamlioration des comportements individuels et collectifs dans
lentreprise. Lalerte thique serait alors un nouveau canal de libert
dexpression mis disposition des salaris et constituerait ainsi un instrument supplmentaire permettant ceux-ci dexercer diffremment un
droit quils possdent dj.
Toujours dans sa version soft , le whistleblowing sinscrit dans le courant
thorique de la vertu. Ainsi, la moralit sinscrit dans la vie individuelle
(Canto-Sperber et Ogien, 2004) et peut sanalyser dans le prolongement
dAristote, pour qui les principes moraux ne peuvent pas tre intgralement
explicits de manire rationnelle et valus abstraitement, puisque ce sont les pratiques concrtes qui leur confrent un sens et les inscrivent dans la vie sociale ; (que)
la facult morale (phronesis) est la facult qui dcide de lapplicabilit certains cas
particuliers ; (que) les jugements moraux ne sont pas des produits de la raison thorique lutilisation du langage thique dpend la fois dune forme de vie partage et des pratiques dune communaut o sont dfinis les termes de notre
exprience thique.
Dans sa version dure en revanche, le whistleblowing serait conu comme un
instrument de contrle faisant de chaque salari linstrument du pouvoir de
police du chef dentreprise.
Groupe Eyrolles
Les premiers travaux mens sur la nature mme du whistleblowing semblent

mettre en exergue deux visions radicalement opposes : une version soft
et une autre beaucoup plus dure.
En pratique
On peut ainsi se demander si le whistleblowing aurait fonctionn dans une

affaire telle que Parmalat, o, dans le but de rassurer les actionnaires et les
cranciers, la direction annona lexistence dune cagnotte de
3,95 milliards deuros dposs dans une agence de la Bank of America
aux les Camans et prsenta un document attestant la ralit du montant
indiqu. Or, la Bank of America affirma que le document prsent par Parmalat pour prouver lexistence de cette somme tait un faux. Ainsi, comme
dans les scandales financiers Enron, Tyco, Worldcom ou Ahold, lendettement de Parmalat a t sciemment dissimul au moyen de systmes frauduleux base de malversations comptables, de faux bilans, de documents
truqus, de bnfices fictifs, de pyramides complexes de socits off shore
embotes les unes dans les autres de faon rendre impossible la traabilit de largent et lanalyse des comptes (Ramonet, 2004).
La pratique du whistleblowing renvoie lthique comme rapport autrui.

Selon Courrent (2002), le problme fondamental qui se pose lacteur est
centr sur la manire dont il tente de concilier consciemment la recherche de
ses intrts personnels et le respect de celui des autres. La qute de la moralit
dans laction se heurte, en effet, au caractre limit des moyens dont il dispose, ce qui lempche de traiter de la mme faon toutes les parties concernes, directement ou indirectement, par sa dcision .
Pour un usage circonstanci et limit des situations

de whistleblowing
Groupe Eyrolles
Le whistleblowing la franaise
Tout dabord, la lgitimit de la mise en place du whistleblowing ne peut tre
transpose en ltat dans le contexte franais. Le whistleblowing la
franaise existe dj sous une autre forme, dans la mesure o il est susceptible dtre exerc par les auditeurs externes lgaux. Larticle 34 du dcret-loi
du 8 aot 1935, repris ultrieurement dans la loi du 24 juillet 1966, imposa
aux commissaires aux comptes de rvler au procureur de la Rpublique
tout fait dlictueux dont ils auraient eu connaissance au cours de leur mission. Cette obligation fut pour partie une rponse juridique diffrents scandales financiers tels que la faillite de la Compagnie Universelle du canal
interocanique de Panama, lescroquerie de petits porteurs lors de lmission
De Kerorguen (2005) souligne que, du ct syndical, Franois Fayol, secrtaire gnral de CFDT-Cadres est rsolument oppos lesprit de dlation
qui existe dans le whistleblowing langlo-saxonne et illustre ses propos par le
cas du comit dentreprise Kingfisher qui a rejet ces mthodes. Il reprend
les propos de Patrick Jampy, dlgu CFDT chez Shell France pour qui, il
est hors de question de mettre en place une police interne. Le lanceur
dalerte est l pour aider les cadres se tirer dun mauvais pas quand ils connaissent un dilemme thique. Nous ne voulons pas de botes aux lettres anonymes ou de numro vert travers lesquels on peut dnoncer tout va. Le
signalement dun fait dlictueux ne doit pas tre anonyme, mais la confidentialit doit tre assure. Le mode de traitement doit tre correctement
tabli .
Que dit la CNIL ?

Selon la Commission Nationale de lInformatique et des Liberts (CNIL),
les dispositifs dalerte professionnelle tels que le whistleblowing ne sont ni prvus, ni interdits par le Code du travail. Elle recommande que ces dispositifs
aient un caractre complmentaire aux dispositifs existants, un champ restreint et un usage facultatif.Tout dabord, elle recommande que les dispositifs
dalerte soient conus comme uniquement complmentaires aux autres
modes dalerte dans lentreprise, comme ceux des reprsentants du personnel
dans le cas du lancement de la procdure dalerte en cas de faits de nature
compromettre la continuit de lexploitation ou ceux dont dispose le commissaire aux comptes, qui peut galement lancer la procdure dalerte ou
rvler au procureur de la Rpublique tout dlit. De plus, toujours selon la
CNIL, le dispositif dalerte doit tre limit dans le champ. La lgitimit de ce
Groupe Eyrolles
dobligations dans laffaire Foncire/Stavisky, laffaire de la Gazette du

Franc/Hanau ou la faillite de la banque daffaires Oustric. Lobligation de
rvler tout fait dlictueux donna une dimension nouvelle la fonction de
commissaire aux comptes (Chaput, 1999). Selon ce dernier, cette obligation fut controverse en ce quelle dpassait le simple mandat donn par les
actionnaires. Ainsi les commissaires aux comptes voyaient simposer la reconnaissance de leur objectivit, puisque leur intervention ntait plus usage
interne, ni mme limite des intrts privs. Ils devenaient des instruments
de dfense de lintrt gnral et du respect de lordre public . Une question
qui se pose est donc de savoir sil est ncessaire que la possibilit de rvler les
faits dlictueux soit offerte aux salaris alors que la loi confie dj cette tche
aux auditeurs externes depuis plus de soixante-dix ans.
droit dalerte semble acquise lorsque les dispositifs dalerte sont mis en uvre
la seule fin de rpondre une obligation lgislative ou rglementaire de
droit franais visant ltablissement de procdures de contrle interne dans
des domaines prcdemment dfinis. En revanche, pour la CNIL, il ne
semble pas que le simple fait de lexistence dune disposition lgale trangre
en vertu de laquelle un dispositif dalerte serait mis en place permette de
lgitimer un traitement de donnes personnelles, notamment dans le cas des
dispositions de la section 301 de la loi Sarbanes-Oxley, qui prvoit que les
employs dune entreprise doivent pouvoir faire tat au comit daudit de
leurs inquitudes quant une comptabilit ou un audit douteux en tant
assurs de bnficier dune garantie de confidentialit et danonymat .
En pratique
La CNIL a refus en 2005 dautoriser deux projets de lignes thiques
permettant aux salaris de signaler des comportements fautifs imputables
leurs collgues de travail. Elle a mis une rserve de principe pour les raisons suivantes :
risque de mise en place dun systme organis de dlation professionnelle du fait de lanonymat de la personne dnonciatrice ;
disproportion entre les dispositifs et les objectifs poursuivis ;
dloyaut de la collecte et du traitement des donnes pour la personne
nayant pas les moyens de sopposer et de se dfendre.
Dans un communiqu du 8 mars 2007, la CNIL a rappel que le champ du

dispositif dalerte est aujourdhui dfini comme celui du domaine comptable, du contrle des comptes, du contrle bancaire et de la lutte contre la
corruption (des alertes pouvant tre exceptionnellement recueillies et traites si elles savrent concerner lintrt vital de lentreprise ou lintgrit
physique ou morale des salaris).
Groupe Eyrolles
Des prcautions prendre

Selon Broussal (2005), certaines prcautions sont prendre pour permettre
le fonctionnement des systmes dalerte dans les entreprises franaises et
notamment :
la mise en place du systme dalerte par accord collectif ou engagement
unilatral, comme le rglement intrieur ;
lorganisation, avant sa mise en place, de sessions de formation ouvertes

aux salaris sur le fonctionnement du systme ;
la limitation du domaine dapplication du systme au contenu prvu par
la loi Sarbanes-Oxley, savoir les seules fraudes financires et comptables,
pour viter un systme disproportionn par rapport lobjectif poursuivi
et laccompagner par la mise en place dun comit dthique capable de
vrifier la vracit de la fraude allgue et dassurer la confidentialit ;
le caractre facultatif de lutilisation du systme, ce dernier tant un canal
supplmentaire dexercice de la libert dexpression des salaris, laissant en
tout tat de cause toute latitude aux reprsentants du personnel ;
le recueil des informations dans le cadre de lalerte qui reposent sur des
faits objectifs sans apprciation subjective, en recommandant de ne pas
dvoiler le nom du prsum coupable ds le dclenchement de lalerte ;
la garantie de la confidentialit et le bannissement de lanonymat afin
dviter les risques de drives et de dnonciations calomnieuses ;
la possibilit pour le salari mis en cause de se dfendre, ds que son nom
est promulgu ;
la protection des salaris dclencheurs de lalerte, tendue la protection
lgale en matire de harclement moral ou sexuel ou de discrimination.
Le whistleblowing ne semble possible que sil est guid par la moralit de lacte.
Courrent (2002) note que la notion de respect constitue le motif moral de
la dcision, qui pousse traiter les autres comme des fins en soi et non
comme des simples moyens : pour tre morale, laction doit tre dlibre et
dsintresse. Dlibre, car le respect dautrui doit tre un sinon le motif
de la dcision ; dsintresse, car il ne doit pas tre le moyen conscient de
poursuivre son intrt personnel .
En outre, rien nempche que ce droit dalerte thique soit complt par une
information sur les pratiques thiques vertueuses identifies dans lentreprise.
Une gestion matrise des situations par les auditeurs internes

Le contrle des situations dalerte thique
Si lon accepte que le whistleblowing soit possible pour les salaris de lentreprise, on peut se demander qui sera charg de lencadrer, danalyser les
situations et ventuellement dengager des actions. Pour quil soit lgitime, il
Groupe Eyrolles
faut que son contrle soit fiable et efficace. Il est vital, pour la russite du systme et viter tout dommage collatral sur la culture organisationnelle de
lentreprise, de confier la gestion des alertes une organisation spcifique.
Implication dune quipe spcialise
Le contrle du whistleblowing pourrait tre ralis par une quipe spcialise

du service daudit interne. Il est capital que le recueil et le traitement des
alertes professionnelles soient confis une organisation spcifique mise en
place au sein de lentreprise pour traiter ces questions. Cette quipe serait
charge de traiter les informations reues tout en protgeant lidentit des
salaris concerns. Cette cellule spcialise de laudit interne aurait pour
mission le traitement des alertes, notamment anonymes. Comme le note la
CNIL, la possibilit de raliser une alerte anonyme ne peut que renforcer le risque de
dnonciation calomnieuse. linverse, lidentification de lmetteur de lalerte ne peut
que contribuer responsabiliser les utilisateurs du dispositif. Lalerte identifie prsente
plusieurs avantages et permet dviter les drapages vers la dlation et la dnonciation
calomnieuse, dorganiser la protection de lauteur de lalerte contre dventuelles reprsailles et dassurer un meilleur traitement de lalerte en ouvrant la possibilit de
demander son auteur des prcisions complmentaires.
Groupe Eyrolles
Les auditeurs internes pourraient galement assurer une information claire et

complte sur le dispositif dalerte en prvenant notamment les salaris que
lutilisation abusive du dispositif peut exposer son auteur des sanctions disciplinaires ainsi qu des poursuites judiciaires, mais qu linverse, lutilisation de bonne foi du dispositif ne peut exposer son auteur des sanctions. Ils
mettront notamment en place et assureront la scurit et la confidentialit
des moyens informatiss ou non de collecte, de traitement et de conservation
des donnes.
Tout lenjeu ici consiste faire jouer un levier thique (Pelissier-Tanon,
2001) et construire laction des auditeurs internes sur le principe de la responsabilit. Lanalyse de la responsabilit repose sur la conception aristotlicienne de la prudence. Selon Pelissier-Tanon (2001), la prudence constitue
une vertu de laction, faite notamment de prvoyance, par lexercice de
laquelle lhomme prudent est capable de dlibrer correctement sur ce qui
est bon et avantageux pour lui-mme (thique Nicomaque), ce qui est le
propre des gens dexprience : si personne ne supportait les consquences de
ses actes, en bref, sans responsabilit impute ou assume, personne ne serait
incit tirer les leons de son exprience ni dvelopper sa prudence.
Les diligences raliser par les auditeurs internes pourront tre formalises
dans le cadre dun code de dontologie afin de dlimiter le champ dintervention et les actions conduire. La dontologie renvoie un ensemble de
rgles dont se dote une profession (ou une partie dune profession) au travers
dune organisation professionnelle qui devient linstance dlaboration, de
mise en uvre, de surveillance et dapplication des rgles (Isaac, 1996).
En quelque sorte, la mission des auditeurs internes dans le cadre de la gestion

du whistleblowing compltera la mission du commissaire aux comptes de rvler tout fait dlictueux dcouvert au cours de sa mission. Comme nous
lavons expliqu plus haut, le Code de commerce fait lobligation au commissaire aux comptes de rvler au procureur de la Rpublique les faits dlictueux dont il a connaissance au cours de sa mission, sous peine de sanctions
pnales et sans contradiction avec lobligation de secret professionnel qui
pse sur lui. Lobligation de rvlation sexerce sur un domaine tendu
(Guyon, 1998). Elle porte non seulement sur les irrgularits comptables,
mais galement juridiques, affectant lorganisation ou le fonctionnement de
la socit : dfaut de runion dans les dlais de lassemble statuant sur les
comptes annuels, composition irrgulire du conseil dadministration ou de
direction, violation du principe dgalit des actionnaires, modifications des
statuts dans des conditions particulires, non-dpt du bilan dans les quinze
jours de la cessation, perte du capital.
En accord avec le garde des Sceaux, le conseil national de la compagnie
nationale des commissaires aux comptes a adopt une norme professionnelle
relative la rvlation des faits dlictueux qui prcise quen prenant en
compte les consquences dune infraction et le but poursuivi, le commissaire
aux comptes doit rvler les faits qui sont la fois significatifs et dlibrs. Les
infractions au droit pnal financier et comptable constituent le cur des
infractions que le commissaire aux comptes peut rencontrer dans lexercice
de ses fonctions (Prat dit Hauret, 2004).
Groupe Eyrolles
Une mission complmentaire
En pratique
Dans le cadre de diffrentes affaires, les juges ont estim quauraient d

faire lobjet dune rvlation au procureur de la rpublique : le dfaut
dtablissement des comptes annuels, linexactitude des bilans, la majoration frauduleuse dun apport en nature, le dfaut de provisions et lexistence de manipulations comptables tout fait anormales sur les titres de
participation provoquant des plus values fictives au sein dun groupe de
socits, le dfaut de tenue dune comptabilit et de rdaction du rapport
de gestion par les dirigeants, lentrave la nomination du commissaire
aux comptes, labus de biens sociaux, la complicit du commissaire aux
comptes dans la prparation dun bilan inexact.
Mise en place dun guide des bonnes pratiques thiques
Groupe Eyrolles
Si le whistleblowing est conu comme un outil juste et efficace pour lamlioration des comportements individuels et collectifs dans lentreprise, le cercle
dthique des affaires (2005) propose une conception plus large de la notion
dalerte thique, en cartant le principe de lillgalit pour se fonder sur
lunique critre du risque pour lentreprise et prcise que sont ainsi vises
les irrgularits ou mauvais comportements professionnels que les salaris
constatent dans lentreprise et dont ils estiment quils font courir un risque
srieux sur les plans financier, juridique, technique, sanitaire, scuritaire ou
quant sa rputation. La finalit de lalerte thique est centre sur la prservation de lentreprise et lamlioration de son comportement et non pas sur
lventuel effet dissuasif dun mcanisme dautocontrle des salaris par les
salaris .
Cette pratique peut ainsi dboucher sur la formalisation des bonnes pratiques
dans un guide des bonnes conduites. Mercier (2000) souligne qu partir de
1990, ladoption des Federal Guidelines for Sentencing Organizations a
incit les entreprises une autorgulation interne des comportements en
recommandant ladoption doutils de gestion des risques thiques et note
que les entreprises ont mis en place les actions suivantes :
ltablissement de principes et procdures devant guider les comportements thiques ;
la nomination dun ou de plusieurs responsables de lthique dans lorganisation pour veiller lapplication de ces principes et procdures ;
lattention porte ce que ces responsables soient reconnus pour leur

intgrit (importance de lexemplarit) ;
la communication de manire efficace de ces principes et procdures
tous les employs (en organisant des formations, en distribuant des publications expliquant le sens et ltendue dapplication de ce qui est
demand) ;
la mise en place de mcanisme de contrle afin dinciter les membres de
lorganisation se conformer ces principes ;
la mise en place dun systme de sanctions en cas de violation de ces rgles
et procdures ;
la prise de dispositions pour viter toute rcidive, en cas de dtection dun
dlit.
POUR CONCLURE
Si le whistleblowing devait tre mis en place, il devrait faire lobjet dun consensus
entre les diffrentes parties prenantes de lorganisation sur son primtre, les
conditions de ralisation du droit dalerte et le cadre thique dans lequel il sera
exerc.
Groupe Eyrolles
Chapitre 8
Fusions-acquisitions :
le rle de lauditeur interne
PAR CHRISTINE POCHET,
Professeur lInstitut dAdministration des Entreprises de

lUniversit Paris I Panthon-Sorbonne
ET
ALESSANDRO REITELLI,
Directeur gnral adjoint dune filiale du groupe CFAO

(filiale de PPR)
our crotre, une entreprise a le choix entre deux stratgies. Ainsi, la

croissance interne, ou organique, passe par la cration de nouvelles
capacits de production, le dveloppement de nouveaux services ou la
conqute de nouveaux marchs. La croissance externe, elle, est alimente par
des acquisitions de tout ou partie dentreprises existantes. On parle de
fusions-acquisitions lorsque la croissance externe saccompagne de la prise de
contrle dune entreprise. Depuis longtemps, les entreprises ont identifi les
avantages de ce mode de croissance, notamment la rapidit avec laquelle il
permet dacqurir une position de leader dans un secteur. Lobservation des
fusions-acquisitions sur longue priode rvle toutefois que ces oprations
nobissent pas un trend de croissance rgulier, mais se droulent plutt
par vagues successives.
Groupe Eyrolles
Ainsi, aprs une pause de quelques annes conscutive lclatement de la

bulle Internet, le march des fusions-acquisitions connat depuis 2005 un
regain dactivit spectaculaire. Le volume des oprations de ce type a atteint
en 2006 au niveau mondial le montant de 3 610 milliards de dollars, dpassant ainsi le prcdent record tabli en 2000 (3 332 milliards de dollars).
Rien quen Europe, on a enregistr une progression annuelle de 42 %, pour
un montant de 1 363 milliards deuros. Beaucoup de ces oprations sont
transfrontalires.
En effet, ce qui caractrise dabord les oprations de regroupement dentreprises, cest leur extrme complexit et limportance des risques qui leur sont
associs. Cest la raison pour laquelle ces oprations mobilisent, pour leur
mise en uvre, une pluralit dexperts : banques conseils, avocats, cabinets
daudit, agences de communication. En interne, elles reposent sur des quipes multifonctionnelles. Une tude internationale rcente (Selim et al.,
2003) indique que les auditeurs internes sont associs au processus dacquisition, leur degr dimplication tant variable selon les tapes de ce processus.
Il semble toutefois que leur mobilisation dans lentreprise acqureuse sousexploite leurs comptences, tant pour la capacit valuer la matrise des
processus de contrle interne et de management des risques que sur le plan
de leur possible contribution une gouvernance dentreprise de qualit.
Quel rle les auditeurs internes ont-ils jouer dans les oprations de fusionsacquisitions ? Cest cette question que se propose de rpondre ce chapitre.
Pour cela, nous mettrons tout dabord en vidence la dualit de ces oprations. Sous-tendues par une pluralit de motifs qui constituent autant
dopportunits damlioration de la performance, les oprations de regroupement dentreprise prsentent galement des risques levs pour les actionnaires. Elles sont en particulier risques, parce que les conflits dintrts entre
actionnaires et dirigeants peuvent sy avrer importants.
Nous aborderons dans la seconde partie de cette contribution lexamen du
rle de lauditeur interne dans ces oprations. Suivant une logique chronologique, nous envisagerons successivement leurs ventuels apports en amont de
la transaction, dans les phases danalyse stratgique et dvaluation puis, en
aval, aux stades de lintgration et de laudit post-acquisition. Nous verrons
alors que lauditeur interne constitue un maillon important de la chane de
contrle des fusions-acquisitions et quil a vocation interagir, ce titre, avec
le comit daudit, les auditeurs lgaux et le management de lentreprise
acqureuse. Les volutions lgislatives et rglementaires rcentes lui confrent la lgitimit requise pour tenir ce rle.
Groupe Eyrolles
Si les fusions-acquisitions ont la faveur des dirigeants dentreprise, cest parce

quelles reclent un potentiel important damlioration des performances.
Pourtant, de ce potentiel sa concrtisation sous forme de cration de valeur
pour les actionnaires, la distance est parfois trs grande et les tudes empiriques effectues pour mesurer lenrichissement des actionnaires post-acquisition laissent dubitatif. Plutt qu une vritable cration de valeur, il semble
que lon assiste des transferts de richesses, notamment des actionnaires de
lentreprise acqureuse vers ceux de la cible.
Fusions-acquisitions : le rle de lauditeur interne 199
Les fusions-acquisitions : opportunits et risques associs

Nous verrons tout dabord que les oprations de fusions-acquisitions prsentent aux yeux des dirigeants de lentreprise acqureuse des atouts certains,
qui expliquent le recours frquent ce mode de croissance. Toutefois, elles
savrent galement extrmement risques, notamment les oprations transfrontalires, qui nous intressent ici plus particulirement.
Des oprations sduisantes pour les dirigeants
Nous retracerons tout dabord grands traits les principales tapes dun
mouvement qui tend, comme les autres dimensions de lactivit conomique, se globaliser. Nous examinerons ensuite les motifs sous-tendant les
oprations de fusions-acquisitions dun point de vue managrial.
Les grandes vagues de fusions-acquisitions et leurs caractristiques

Les vagues de fusions-acquisitions obissent jusquau milieu des annes 1980
des dterminants macroconomiques essentiellement nationaux. Par la
suite, la globalisation financire va provoquer une synchronisation lchelle
mondiale du rythme des oprations de prise de contrle.
Premire vague : 1897-1904
Elle concerne uniquement lconomie amricaine et dbute en 1897, dans
un contexte de croissance conomique soutenue, favorise par le dveloppement des chemins de fer transcontinentaux et de llectrification et prend fin
avec la dpression de 1904. Les oprations sont de type horizontal, cest-dire quelles concernent des concurrents sur un mme march et touchent
majoritairement le secteur de lindustrie lourde. Ces fusions visent renforcer le pouvoir de march des entreprises qui les initient (merging for monopoly),
selon la typologie propose par Stigler (1950). Une application trs souple de
la loi antitrust vote en 1890 (Sherman Act) en a permis la mise en uvre.
Groupe Eyrolles
Deuxime vague : 1916-1929

Le boom conomique postrieur la premire guerre mondiale marque le
dbut de cette seconde vague qui sachve avec la crise de 1929. la diffrence de la priode prcdente, les oprations ne visent plus renforcer un
pouvoir de monopole, mais plutt crer des structures de march de type
oligopolistique (merging for oligopoly) afin dviter de tomber sous le coup des
lois antitrust dsormais strictement appliques. Apparaissent galement des

oprations de nature verticale (entre des entreprises situes des niveaux diffrents dune mme filire de production) ou conglomrale (runissant
des entreprises dont les activits sont sans relation lune avec lautre).
Aux tats-Unis, cette vague est majoritairement constitue doprations de

nature conglomrale dans un contexte o la protection de la concurrence
sest encore renforce. La gnralisation de la forme multidivisionnelle, suivant une logique de couple produit/march, soutenue par une instrumentation de contrle de gestion sophistique, permet de rationaliser la gestion
densembles trs htrognes. On considre alors les conglomrats comme
des instruments efficaces de diversification des risques.
En Europe, la construction du march commun suscite la premire vritable
vague de fusions-acquisitions. En France, la politique industrielle est mise au
service de la cration de champions nationaux dans les secteurs jugs stratgiques. La crise ptrolire de 1973 marque larrt de ce mouvement de consolidation.
Quatrime vague : les annes 1980
Aux tats-Unis, les inefficiences caractrises des conglomrats, combines
linvalidation par la cour suprme en 1982 des lois restreignant les offres
publiques dans 37 tats de lUnion, vont initier une vague sans prcdent
doprations caractre hostile. La taille des entreprises cibles est parfois trs
importante et les fusions transfrontalires ne font plus figure dexception. Sur
le plan de la doctrine managriale, un revirement complet sopre et les
conglomrats apparaissent enfin tels quils sont : des ensemble difficiles
grer qui nont pas tenu les promesses de la diversification. Cest lpoque des
stratgies de recentrage sur le cur de mtier.
En France, la tendance est identique. Toutefois, le march du contrle nest
pas aussi dvelopp quaux tats-Unis et les oprations sont majoritairement
amicales. la fin des annes 1980, la vague sinterrompt brivement avec le
dclenchement de la guerre du Golfe.
Cinquime vague : les annes 1990
Tout au long de la dcennie va se poursuivre une intense activit de regroupements dentreprises, dans un contexte de drglementation financire
gnralise et de globalisation. Les restructurations stratgiques continuent
Groupe Eyrolles
Troisime vague : les annes 1960
obir une logique de recentrage sur les activits principales, suscitant des
oprations de nature horizontale accompagnes de cessions. Dsormais, dans
la plupart des pays europens, le poids des fusions transfrontalires dpasse
celui des oprations domestiques. Les vagues successives de consolidation
tendent par ailleurs gnrer un nombre croissant de mga deals. Dans le
mme temps, les progrs raliss dans le domaine des nouvelles technologies
de linformation et de la communication (NTIC) facilitent la gestion
dentreprises oprant lchelle mondiale. Lclatement de la bulle spculative en 2001 marque la fin de cette priode.
Sixime vague : depuis 2005
Lanne 2005 marque la reprise des transactions lchelle mondiale. De

nouveaux acteurs ont fait leur apparition : les fonds de private equity (15
20 % des oprations en Europe) ainsi que les hedge funds. La Chine commence galement merger comme acteur sur le march des fusions-acquisitions (rachat de Marionnaud par AS Watson, des ordinateurs personnels
dIBM par Lenovo). A contrario, on note dans certains pays des manifestations
de patriotisme conomique (par exemple, lors de la prise de contrle
dArcelor par Mittal Steel). En 2006, le montant des oprations lchelle
mondiale a atteint le chiffre record de 3 610 milliards de dollars, en hausse de
40 % par rapport 2005 et mme de 6 % par rapport au dernier record
datant de 2000.
Favorises par des dterminants de nature macroconomique, les vagues de
fusions-acquisitions obissent galement une logique microconomique.
Groupe Eyrolles
Les fusions-acquisitions : quel intrt sur le plan managrial ?

Si les fusions-acquisitions bnficient de la faveur des dirigeants, cest principalement, parce que ces oprations sont porteuses dun potentiel damlioration de la performance des entreprises. Cet argument gnral peut tre
dclin selon six dimensions qui constituent autant de sources daccroissement defficacit :
ralisation dconomies de dimension, ;
pntration de nouveaux marchs ltranger ;
diminution des cots de transaction ;
rationalisation de lutilisation des comptences ;
acquisition de nouvelles technologies ;
diminution de la pression concurrentielle.
conomies de dimension et baisse des cots moyens

Raliser une acquisition constitue tout dabord un moyen rapide de faire
jouer les conomies dchelle dues lexistence de cots fixes levs, notamment ceux de R & D, de distribution, de gestion administrative et financire
(Daimler-Chrysler, Sanofi-Aventis). Cest aussi parfois le moyen de raliser
des conomies de gamme, cest--dire dexploiter les synergies procures par
la complmentarit des produits des entits regroupes (cas de certaines
fusions bancaires, comme celle de BNP et de Paribas).
Elle constitue le motif principal des oprations transfrontalires dont nous

avons signal la progression trs rapide depuis le dbut des annes 1990. Elles
permettent ainsi dtendre le march des produits de lentreprise des clients
nouveaux (cas des dlocalisations vers la Chine ou les pays dEurope de lEst).
La pntration dun nouveau march opre par voie dacquisition se rvle
moins risque que la cration ex nihilo dune filiale ltranger. Elle acclre
en effet lapprentissage de ce nouveau march. Enfin, linvestissement direct
ltranger sous forme dacquisition demeure une stratgie efficace pour
contourner les barrires (tarifaires et non-tarifaires) riges par certains pays.
conomies de cots de transaction
La thorie des cots de transaction (Williamson, 1985) fournit, entre autres
domaines dapplication, des lments dexplication des stratgies dintgration verticale. Dans cette perspective, lintgration verticale sanalyse comme
le fait dinternaliser des transactions au lieu de les effectuer sur le march.
Cette option stratgique savre pertinente lorsque les cots encourus pour
raliser la transaction en interne (cots dorganisation) sont infrieurs ceux
que lentreprise supporterait si elle recourait au march (cots de transaction). La thorie indique que lorsque les actifs sont spcifiques (difficilement
redployables dans dautres usages), que la transaction est rcurrente et
lenvironnement incertain, lintgration verticale constitue une solution plus
efficiente que le recours au march (rachat de Corsair par Nouvelles Frontires, rachat massif de sous-traitants dans lindustrie du luxe).
Poursuite dune stratgie de recentrage
Les fusions-acquisitions constituent un instrument privilgi de recentrage
des entreprises sur leurs comptences fondamentales (core competencies). Selon
Batsch (2003), le recentrage sanalyse comme un mouvement de correction
Groupe Eyrolles
Pntration des marchs trangers
des excs de diversification. Il seffectue sous la pression des investisseurs et

conformment aux enseignements de la thorie financire : la diversification
des risques doit tre assure par les actionnaires (ou les grants de portefeuille) et non par les entreprises dans lesquelles ils investissent. partir du
dbut des annes 1980, les conglomrats ont ainsi cd la place des entreprises focalises sur quelques branches dactivit, redessinant leurs frontires
par le jeu des fusions-acquisitions, des cessions et de lexternalisation afin
doptimiser la cration de valeur actionnariale.
Acquisition de nouvelles technologies
Le management des ressources technologiques constitue aujourdhui une

dimension essentielle de la gestion des entreprises. Dans cette perspective,
lacquisition de nouvelles technologies via le regroupement avec une autre
entit reprsente un moyen rapide de dvelopper la capacit dinnovation
dune entreprise. Un tel motif permet notamment dexpliquer les oprations
conduites par certaines entreprises des pays mergents comme la Chine, le
Brsil ou lInde. Labsorption de start-ups technologiques permet galement
laccs des technologies complmentaires (par exemple, lorsque Cisco
System a acquis en 2004 les start-ups Actona Technologies, Pocket Network,
Parc Technologies, P-Cube ou encore NetSolve). Elle constitue galement
un moyen de bloquer la concurrence.
Diminution de la pression concurrentielle
Groupe Eyrolles
Lun des objectifs classiques des oprations de regroupement dentreprises est

de rduire la pression concurrentielle en diminuant le nombre de concurrents (cas des fusions-acquisitions horizontales), mais parfois galement en
rigeant des barrires lentre de concurrents potentiels (cas de certaines
oprations verticales). Les autorits de protection de la concurrence voient
naturellement dun mauvais il ces tentatives de renforcement du pouvoir
de march des entreprises et exercent un contrle troit sur les oprations de
fusions-acquisitions. Lors du regroupement de deux entreprises, ce contrle
peut les conduire imposer la cession de certaines activits leurs concurrents afin de prvenir lmergence dune situation de position dominante
dans un secteur (cas de la fusion AstraZeneca et Novartis en 2001).
Des oprations risques pour les actionnaires

Omniprsentes sur la scne conomique et obissant des motifs clairement
identifis par la recherche, les oprations de fusions-acquisitions nen sont
pas moins dlicates mettre en uvre. Leur impact sur la richesse des actionnaires est depuis longtemps discut par la littrature qui fournit sur ce point
des rsultats contrasts. Nous en prsenterons une vue synthtique. Nous
analyserons ensuite le risque auquel sont exposs les actionnaires de lentreprise acqureuse lors dune opration de regroupement dentreprises.
Impact des fusions-acquisitions sur la richesse des actionnaires
La mesure des ractions court terme du march

Ces travaux envisagent dune part leffet de lannonce dune opration de
fusion-acquisition sur les actionnaires de la cible et dautre part son impact sur
ceux de lacqureuse. court terme, les actionnaires de la cible bnficient
dune prime variant entre 30 % et 40 % selon les tudes (Weston et Johnson,
1999). La prime est plus forte en cas de paiement en monnaie. En effet, lorsque lacqureuse paie avec ses propres actions, le march interprte ce choix
comme le signe dune survaluation des titres. Les rendements observs sont
galement suprieurs lorsque le rapprochement est opr par le biais dune
OPA plutt que dune fusion. La richesse des actionnaires de lacqureuse
nest, au mieux, pas affecte par lopration. Sur la priode 1973-1978,
Andrade et al. (2001) mesurent une raction ngative du march de 0,7 %.
Lvaluation long terme de la cration de valeur
Dans ce cas, cest limpact sur la richesse des actionnaires de lentreprise initiatrice qui est valu. Dans lensemble, les tudes ralises montrent que les
actionnaires de lacqureuse sont perdants. Sagissant des fusions, les rsultats
des tudes empiriques sont convergents et mettent en vidence des rentabilits anormales cumules sur cinq ans ngatives (Agrawal et al., 1992 ; Rau et
Vermaelen, 1998). En revanche, les travaux portant sur les offres publiques
dbouchent sur des conclusions divergentes. Plusieurs auteurs trouvent des
rentabilits anormales cumules non significativement diffrentes de zro
(Franks et al., 1991 ; Higson et Elliot, 1998). Dautres mettent en vidence
une rentabilit moyenne positive cinq ans (Loughram et Vijh, 1997). Sur le
march franais, Pcherot (2000) trouve une rentabilit anormale cumule
ngative de 25,4 %. Les rsultats des mesures long terme apparaissent
cependant trs sensibles la mthodologie utilise (Albouy, 2000).
Groupe Eyrolles
La littrature empirique consacre lvaluation de limpact des fusionsacquisitions sur la richesse des actionnaires comporte deux types dtudes :
court terme et long terme.
La littrature suggre donc que seuls les actionnaires des entreprises cibles
savrent clairement gagnants dans les fusions-acquisitions. Plusieurs hypothses ont t formules pour tenter dexpliquer les performances dcevantes
de lacqureuse. Le dirigeant de lentreprise acheteuse pourrait tre victime
de biais cognitifs (Barabel et Meier, 2002), notamment un penchant surestimer sa capacit grer une opration aussi complexe et risque quune
fusion-acquisition : cest lhypothse dorgueil (hubris) faite par Roll (1986).
Il serait galement victime de la maldiction du vainqueur lorsque,
confront une concurrence pour la cible, il accepterait de payer un prix trop
lev pour remporter loffre, compromettant ainsi la rentabilit de lopration
(Dickie et al., 1987). Enfin, dans la perspective de la thorie de lagence (Jensen et Meckling, 1976), on peut noter que les conflits dintrts entre actionnaires et dirigeants sont importants dans un contexte de fusion-acquisition. La
ralisation doprations contraires aux intrts des actionnaires sexpliquerait
alors par lopportunisme des dirigeants (Morck et al., 1990).
Nous nous proposons maintenant de procder une analyse globale du
risque auquel sont exposs les actionnaires de lentreprise acqureuse lors
dune opration de fusion-acquisition. Par souci de concision, nous parlerons de risque dacquisition pour dsigner ce risque.
Alas de la cration de valeur pour les actionnaires : le risque dacquisition
Groupe Eyrolles
Le risque dacquisition dsigne celui auquel sont exposs les actionnaires de

la firme acheteuse de voir la valeur des titres quils dtiennent baisser lors
dune opration de rapprochement avec une autre entreprise. Il sagit fondamentalement dun risque de nature financire. Il peut tre dcompos suivant deux dimensions. Toute fusion-acquisition met en jeu une relation de
coopration entre dirigeants de lentreprise acqureuse et de la cible, mdiatise par leurs conseils (Pochet, 2000). Ce lien expose les actionnaires-acqureurs, par lintermdiaire de leurs dirigeants, aux risques dagence que font
natre lasymtrie dinformation, la rationalit limite et lincertitude. Mais le
risque, pour les actionnaires, ne sarrte pas l. Leur intrt et celui des dirigeants peuvent en effet diverger radicalement lors dune opration dacquisition. Les actionnaires sont alors exposs au risque dopportunisme des
dirigeants.
Le risque dagence
Considrons tout dabord le cas o les dirigeants agissent loyalement
lgard des actionnaires. Dans cette hypothse, le risque quencourent ces
derniers se limite un risque de slection adverse. Il traduit la possibilit

pour lacqureur de commettre une erreur dans lapprciation des caractristiques de la firme cible et par consquent dans lvaluation de cette dernire
ainsi que des effets de synergie quelle peut gnrer. Comme pour toute
dcision dinvestissement, lopportunit conomique dune acquisition
sapprcie laune du critre de la valeur actuelle nette (VAN) ; qui doit tre
positive pour que lopration cre de la valeur pour les actionnaires.
La VAN dune acquisition est gale la diffrence entre le gain conomique
procur par lopration et son cot de ralisation (Jobart et al., 1994). Supposons quune entreprise A veuille acqurir une entreprise B. Le gain conomique est dfini comme la diffrence entre la valeur du nouvel ensemble
constitu par le rapprochement de A et B et la somme des valeurs de ces
deux entreprises considres sparment soit :
Gain conomique = VA+B (VA + VB)
Il sagit donc des gains procurs par les effets de synergie attendus du regroupement.
Le cot de lopration est gal la diffrence entre le prix dacquisition et la
valeur de la firme acquise, soit :
Cot de lopration = prix dacquisition - VB
La VAN du projet dacquisition sexprime donc ainsi :
VAN = VA+B (VA + VB) (prix dacquisition VB)
Cest--dire :
VAN = (VA+B VA) prix dacquisition
Les paramtres de la prise de dcision et de la ngociation sont donc constitus pour lacqureur comme pour le cdant des valuations de chacune des
deux firmes et de celle de lentit susceptible dmerger de leur rapprochement. Conformment la thorie financire, ces valuations doivent tre
menes en actualisant, un taux tenant compte du risque, les sommes des
flux nets de liquidits susceptibles dtre gnrs dans le futur par lentit
considre (A, B ou A+B). Ces flux tant par nature alatoires, les valuations qui en dcoulent sont donc en fait des esprances mathmatiques calcules sur la base dhypothses pondres par des probabilits subjectives
doccurrence.
Dans cette perspective, le risque dagence traduit le risque derreur (d
lincertitude, aux biais informationnels et la limitation des capacits
Groupe Eyrolles
cognitives du dcideur) qui sattache aux valuations de chacune des

firmes partenaires dun projet dacquisition et plus encore celle des effets
de synergie et des cots dintgration post-acquisition engendrs par leur
runion. Ce risque peut conduire les dirigeants prendre des dcisions
contraires la rationalit conomique et donc destructrices de valeur pour
les actionnaires.
Le risque dopportunisme
Les dirigeants, lorsquils ne sont pas les propritaires de lentreprise, ont reu
mandat de grer celle-ci dans lintrt des actionnaires.Toutefois, lorsquils disposent de liquidits abondantes et ont puis toutes les opportunits dinvestissement cratrices de valeur, ils sont incits entreprendre des projets risqus,
par exemple des fusions-acquisitions (Jensen, 1986). Dune part, la rmunration des dirigeants est fortement corrle la taille de lensemble quils dirigent
(Baker et al., 1988). Il y a l une incitation faire crotre cette taille et les acquisitions constituent un moyen rapide dy parvenir. Dautre part, des motivations
dordre non pcuniaire (pouvoir, notorit) peuvent galement jouer. La thorie de lenracinement (Shleifer et Vishny, 1989) propose un argument
complmentaire : les fusions-acquisitions constitueraient un moyen pour les
dirigeants de senraciner, cest--dire dlever le cot de leur remplacement.
Dans cette perspective, la ralisation doprations de fusion-acquisition sanalyse comme une stratgie dlibre de complexification par les dirigeants
de la structure de leur groupe. Les oprations de regroupement dentreprises
constituent donc un terrain naturellement propice la manifestation de comportements opportunistes de la part des dirigeants, ce qui renforce le caractre
risqu de ces oprations pour les actionnaires. Nous allons maintenant examiner quel rle lauditeur interne peut jouer pour matriser les risques associs
aux oprations de fusions-acquisitions.
Groupe Eyrolles
Lauditeur interne dans le processus dachat :

un atout pour la matrise des risques
Une opration de fusion-acquisition peut tre dcrite comme un processus
comportant quatre phases distinctes, les deux premires se situant en amont
de la transaction, les suivantes intervenant une fois la transaction conclue.
Nous allons passer en revue le rle de lauditeur interne chacune des tapes
du processus en distinguant la contribution quil est susceptible dapporter en
amont de la transaction, puis en aval.
Lintervention en amont de la transaction

Deux tapes prcdent la conclusion dune transaction entre lacqureuse et
la cible : la phase de pr-acquisition et celle de structuration de loffre et de
ngociation.
La phase de pr-acquisition sinscrit dans la continuit du processus danalyse stratgique conduit par lentreprise. Celle-ci ayant identifi lexistence dun problme stratgique fait le choix dy rpondre au moyen
dune fusion-acquisition. Le profil de la cible est alors dfini et les candidats potentiels lacquisition identifis. La phase de pr-acquisition
sachve avec la slection dune entreprise parmi les cibles potentielles et
la validation de lopportunit de cration de valeur que constitue son
intgration linitiatrice de loffre.
ce stade de lopration, le risque principal est de nature stratgique. Faire
le choix de la croissance externe, notamment linternational, permet de se
dvelopper plus rapidement quen crant de toutes pices une filiale
ltranger. Le rachat permet galement de bnficier dun effet annonce qui
peut savrer intressant en termes de notorit. Toutefois, ce choix doit
reposer sur des motifs solides, car il est largement irrversible. Il faut donc
que le projet dacquisition sinscrive dans une vision stratgique claire, soustendue la fois par une logique stratgique de cration davantage comptitif
durable et par une logique financire de cration de valeur par lobtention de
synergies (synergies de cots et/ou de revenus).
Lauditeur interne a-t-il un rle jouer ce stade ? Une tude internationale mene par Selim et al. (2003) indique que peu dauditeurs internes
sont sollicits dans la phase de pr-acquisition. Toutefois, leur implication
prcoce dans le processus dacquisition serait extrmement bnfique.
Laptitude des auditeurs internes envisager lentreprise de faon globale,
leur connaissance des diffrentes units daffaires et des stratgies qui leur
sont associes, leur confrent la capacit de conseiller le management, en
complment des cabinets de conseil en stratgie gnralement mobiliss
au stade de la pr-due diligence. Ils ont galement un rle jouer en
matire de contrle stratgique, en complment du conseil dadministration, du fait de leur capacit valuer le processus de planification stratgique. Leur domaine privilgi dintervention demeure cependant celui
de la due diligence.
Groupe Eyrolles
Pr-acquisition : identifier les leviers de cration de valeur
En pratique
Le groupe PPR offre un exemple de stratgie russie de croissance externe,

reposant sur lanticipation des difficults de certains secteurs et, linverse,
des opportunits de croissance offertes par dautres secteurs. Initialement
prsent dans lindustrie du bois, le groupe opre un virage stratgique
significatif en 1990 avec lacquisition de CFAO, entreprise spcialise
dans le ngoce avec lAfrique. Le fondateur anticipe alors une crise de surproduction dans le bois, ainsi quune complexification de la rglementation, notamment en termes denvironnement. La dcennie 1990 voit
soprer le virage de la distribution spcialise vers la distribution grand
public avec lacquisition de Conforama, du Printemps et de La Redoute. La
fin des annes 1990 marque enfin lentre dans le luxe avec lacquisition
de Gucci en 1999. Cette stratgie a t poursuivie depuis, PPR procdant
lacquisition progressive de marques non concurrentes entre elles, possdant chacune des spcificits en termes de produits, de clientles,
dimage.
valuation de la cible et ngociation : participer la due diligence

Compte tenu de la complexit et du risque levs associs aux oprations de
regroupement dentreprises, de nombreux experts sont amens intervenir
dans le processus allant de la manifestation dun intrt pour la cible au bouclage de la transaction (closing). Nous nous concentrons ici sur une tape
essentielle de ce processus, la due diligence, dont nous prciserons tout
dabord les principaux enjeux. Nous examinerons ensuite le rle des auditeurs internes dans ce processus.
Groupe Eyrolles
Le processus de due diligence

Dans une opration de fusion-acquisition, on appelle due diligence la mise en
uvre de procdures dexamen prliminaire de la cible dans le cadre dune
opration amicale. Sur le plan de la mthodologie, elle sapparente un audit
oprationnel orient vers la dtection des risques et dont le champ couvre la
totalit des fonctions de lentreprise. Elle a pour objectif principal de procder
un diagnostic gnral et une valorisation argumente de lentit audite.
Elle dbouche sur la formalisation dune offre prliminaire (memorandum of
understanding ou MoU) qui servira ensuite de base la ngociation.
La ralisation des dues diligences est gnralement confie un cabinet daudit,
les plus grands dentre eux proposant des services de conseil lis aux oprations de fusions-acquisitions (Transaction Advisory Services). La mise en
Lenjeu dune due diligence financire est triple : obtenir une comprhension
des performances passes de la cible, analyser lactivit correspondant
lexercice courant, enfin valuer le potentiel futur de cration de valeur de
lacquisition.
Les principales analyses effectuer pour comprendre la performance historique sont rsumes dans le tableau n 1 ci-aprs.
Tableau n 1 - Comprendre la performance historique
Enjeux
Principales analyses
Qualit et fiabilit des informations

financires
Bouclage des diffrentes sources dinformation

(comptes sociaux, balances auxiliaires, tats de
gestion)
Rconciliation des tableaux de financement avec
les comptes de rsultat et bilans
Revue des principes comptables et permanence
des mthodes
Identification des spcificits de la

cible et de son march
Clients, fournisseurs (concentration, revenue/purchasing model)

Saisonnalit
Outils de production et modes de distribution
Analyse des trends dactivit et Analyse des effets volume, prix, mix produits et
de profitabilit historiques et identifi- cots de production sur le chiffre daffaires et la
cation des principaux leviers
marge brute
Analyse de la structure des charges dexploitation
(fixe/variable)
Dfinition du ROP normatif
Analyse des rsultats financiers et exceptionnels
Analyse du BFR
volution mensuelle
Dfinition du BFR normatif
Analyse des investissements
Risque li lhistorique
Impact de la cession
Groupe Eyrolles
uvre dune due diligence peut se heurter des difficults dobtention des
informations ainsi qu une pression temporelle importante. Dans le
contexte des fusions-acquisitions, on nomme deal breaker un problme
majeur qui vient interrompre la transaction. Au cours de la due diligence, et
notamment de la due diligence financire, lauditeur identifie de nombreux
problmes qui vont se rsoudre par le biais dajustements comptables (dprciations dactifs, constitution dune provision pour risque, etc.). Seul un problme majeur est susceptible de constituer un deal breaker. Par ailleurs, il est
clair que le but de lauditeur consiste identifier le maximum de problmes
afin de diminuer le prix dacquisition de la cible.
Lanalyse du current trading consiste passer en revue les derniers comptes disponibles (mensuels, trimestriels ou semestriels) arrts par le management de
la cible et projeter ces comptes par rapport au budget de lanne en cours.
Ceci permet de connatre la tendance en matire dvolution de lactivit, de
la rentabilit et de la situation de trsorerie. En comparant les derniers chiffres disponibles au budget, il est galement possible dapprcier la qualit des
prvisions du management de la cible. Enfin, moyennant un examen dtaill
du carnet de commandes, cet exercice permet dajuster si ncessaire les prvisions de rsultat en fin dexercice.
Lanalyse de lactivit courante passe galement par un audit des principaux

postes risque du bilan ainsi que par lidentification des principales zones de
risques hors bilan. Les points principaux sont les suivants (tableau n 2).
Tableau n2 - Identification des risques au bilan et hors bilan
Groupe Eyrolles
Enjeux
Principales analyses
Valeur conomique des actifs
Revue des provisions sur actifs circulants

(clients, stocks, autres actifs)
Revue des amortissements et des dprciations des actifs immobiliss
Contrle de lexistence des stocks et des
immobilisations
Exhaustivit des passifs
Exhaustivit des dettes dexploitation et

hors exploitation
Analyse des provisions pour risques et
charges
Comprhension de la situation fiscale du

primtre de cession
Risque li lhistorique
Impact de la cession (sur les engagements
sociaux, etc.)
Identification de lensemble des lments

hors bilan
Analyse de lensemble des engagements

donns et reus
Impact de la cession sur ces engagements
(clauses de change of control)
Comprhension du primtre de cession
Revue des mthodes de consolidation et

comprhension de lensemble des engagements vis--vis des entits exclues du primtre de consolidation
Si la comprhension des performances passes et de lactivit courante de la

cible constituent des lments importants dune due diligence, lestimation du
potentiel de cration de valeur de celle-ci dans le futur demeure lobjectif
majeur de cet exercice. cet gard, le plan daffaires (business plan) construit
Le rle de lauditeur interne

Ltude prcite de Selim et al. (2003) met en vidence le fait que la due diligence constitue ltape du processus dacquisition au cours de laquelle les
auditeurs internes sont le plus mobiliss. Dans certains cas, lauditeur interne
est inclus dans lquipe de due diligence, par nature multifonctionnelle, dans
dautres, il intervient en appui de consultants extrieurs. Ses domaines privilgis dintervention concernent laudit du management des risques et de la
fonction audit interne de la cible. Il vrifie parfois que les personnes charges
de lvaluation de la cible possdent les qualifications requises pour accomplir cette tche. Enfin, dans certaines entreprises, il sassure que les faiblesses
identifies lors de la due diligence sont bien prises en considration lors de la
finalisation de la transaction.
Cette contribution des auditeurs internes la phase dvaluation de la
cible parat sous-exploiter leurs comptences. En particulier, il semble
vident que leur contribution devrait inclure la revue du systme de
contrle interne de la cible. Ils devraient au minimum vrifier que la due
diligence couvre bien tous les domaines fonctionnels de la cible. Plus largement, ils devraient sassurer quau stade de la ngociation, les membres
de lquipe disposent de critres prcis de go/no-go . Le rle des auditeurs internes sapparente plus gnralement celui de poil gratter
travers leur capacit de dtection des dficiences du processus global
dvaluation de la cible.
Ils ont enfin un rle crucial jouer en valuant le degr de compatibilit
entre les cultures des deux entits (cultural fit) au moyen dun audit culturel
de la cible. Cet examen permet didentifier les principaux risques lis
lexistence dune distance culturelle entre lacqureuse et la cible et destimer le cot du foss culturel. Essentielle pour valuer le potentiel crateur
de valeur de lopration, la variable culturelle demeure un paramtre
dterminant pour le succs de lopration au stade de lintgration postacquisition.
Groupe Eyrolles
par la cible fait lobjet dun examen trs pouss. Il sagit de vrifier la cohrence des hypothses fondant les projections dactivit avec la tendance des
donnes historiques. De mme, le caractre raliste des prvisions doit tre
interrog et des analyses de sensibilit conduites. ce stade, il est indispensable didentifier les risques cls ainsi que les principaux leviers de performance inclus dans le business plan.
Lintervention aprs la transaction

Une fois la transaction conclue, lobjectif du nouvel ensemble est de concrtiser les attentes en matire de cration de valeur ayant motiv lopration de
regroupement. cet gard, lintgration post-acquisition constitue une
tape cruciale. ce stade, laudit permet dvaluer globalement lopration
et den tirer des leons pour le futur.
Intgration post-acquisition : concrtiser les synergies attendues
Les rsultats dcevants des fusions-acquisitions peuvent certes rsulter

derreurs dvaluation de la cible. La littrature rvle toutefois que la plupart
des checs ont pour origine une matrise insuffisante du processus dintgration post-acquisition (Jemison et Sitkin, 1986 ; Haspeslagh et Jemison, 1991).
Des opportunits de synergies peuvent alors tre gches par une insuffisante
prparation ou une excution dfaillante du programme dintgration.
En pratique
A priori, les oprations transfrontalires sont particulirement dlicates
grer de ce point de vue. Une tude ralise par Mercer Management
Consulting indique toutefois quen moyenne, 61 % des groupes ayant
men des oprations transatlantiques enregistraient de meilleures performances que leur secteur 36 mois aprs la signature contre 52 % pour les
oprations continentales (europennes).
La diffrence pourrait tre due au fait que, compte tenu de la complexit de

lopration, dans les entreprises du premier groupe, des structures exceptionnelles ont t mises en place pour grer le projet dintgration et une attention particulire a t porte lintgration des cultures. Les principales
difficults auxquelles se heurtent les quipes dintgration sont en effet de
plusieurs ordres : organisationnel dune part, culturel et humain dautre part.
Groupe Eyrolles
Les difficults dordre organisationnel

Sur le plan de lorganisation, la principale difficult provient de lexistence
de doublons tant au niveau des fonctions et des moyens qu celui des
produits et des marchs. La matrise de la gestion des doublons conditionne
en ralit la capacit du nouvel ensemble concrtiser les synergies attendues
en termes de cots. Ces synergies se traduisent par une diminution du cot
Les synergies de revenus proviennent, elles, des revenus supplmentaires

engendrs par le dveloppement de nouvelles activits (favoris par laugmentation de la puissance managriale et technique) ou lexistence de complmentarits commerciales (opportunits de cross-selling dans les fusions
bancaires par exemple). Ce type de synergies est trs important car,
linverse de celles de cots, elles vhiculent une vision positive de lavenir du
groupe, crant un bien meilleur climat en son sein que lorsque sont anticipes des rductions deffectifs lies la gestion des doublons. Les changements
organisationnels portent en effet des consquences sociales et humaines.
Les difficults dordre culturel et humain
Le changement organisationnel conscutif une opration de fusion-acquisition constitue un facteur dincertitude pour les salaris en raison des bouleversements quil engendre (Buono et Bowditch, 1989). Le principal danger
est alors la perte de talents si les individus qui dtiennent des comptences
prcieuses pour lentreprise ne sont pas incits demeurer au sein du nouvel
ensemble (Kiessling et Harvey, 2006). En prsence de doublons, plusieurs
approches peuvent tre identifies : paritaire (quilibre acqureur/cible),
quitable (le meilleur chaque poste), prdatrice (lacqureur impose ses
hommes). En termes defficience, lapproche quitable domine nettement
les deux autres. Lapproche prdatrice manifeste quant elle la volont du
top management de lentreprise acqureuse dimposer, avec ses hommes, sa
culture. Or, toutes les cultures dentreprise ne sont pas naturellement compatibles. Qui plus est, dans les fusions transfrontalires, la confrontation des
cultures dentreprise se superpose celle des cultures nationales. La capacit
matriser le processus dintgration culturelle apparat ainsi comme une condition importante du succs dune opration de regroupement dentreprises.
La distance culturelle entre entreprise acqureuse et cible est une source
potentielle de choc des cultures identifie depuis longtemps par la littrature
(Berry, 1980 ; Nahavandi et Malekzadeh, 1988). Ces chocs culturels peuvent
engendrer stress et conflits et dboucher sur des comportements dysfonc-
Groupe Eyrolles
moyen due la ralisation dconomies dchelle (par exemple, via la runion

des deux siges sociaux) ou de gamme (par la rationalisation des services
logistiques, la restructuration des rseaux de distribution). Comme le notent
Hartmann et al. (2003), la ralisation des synergies de cots est critique lors
dune opration de fusion-acquisition, notamment parce quelle reprsente
un signal fort vis--vis des analystes et des marchs sur la bonne excution de
lintgration .
tionnels (Cartwright et Cooper, 1994). Globalement, limpact ngatif de la

distance culturelle sur la performance post-acquisition a pu tre mesur
(Datta et Puia, 1995 ; Weber et Menipaz, 2003). A contrario, dans les oprations transfrontalires, la distance culturelle nest pas ncessairement un obstacle au succs du rapprochement. En largissant lventail des routines et des
rpertoires organisationnels, elle peut se rvler un levier de performance
(Morosini et al., 1998).
En quoi les auditeurs internes peuvent-ils contribuer au bon droulement du

processus dintgration ? Tout dabord, ils ont naturellement vocation faire
partie du comit dintgration si une telle entit est cre. Daprs Hartmann
et al. (2003), le comit dintgration est une structure compose de cadres
expriments des deux entreprises, ddie au suivi de lensemble des projets
dintgration et la coordination des quipes concernes. Adoss la direction gnrale, donc indpendant et impartial, il sagit dun des rouages essentiels la bonne russite de lopration.
Concernant la concrtisation des synergies, celle-ci passe par la mise en place
de structures ddies afin didentifier les meilleures pratiques et den
organiser le partage au sein du nouvel ensemble. De par leurs comptences
en matire daudit fonctionnel, les auditeurs internes sont particulirement
bien placs pour mettre en place des procdures de benchmarking et de comparaisons internes au sein du nouveau groupe. Leur position au sein de
lentreprise, garantissant leur indpendance vis--vis des diffrentes fonctions, leur permet daborder cet exercice de faon quilibre, en tant prts
apprendre des diffrences avec la cible, plutt que dans une dmarche imprialiste sens unique.
Groupe Eyrolles
Concernant le processus dacculturation, les auditeurs internes ont un rle

jouer pour faciliter la communication entre les quipes des deux entits ainsi
que le partage des connaissances en matire de systmes et de procdures de
contrle interne tout comme de management des risques. Enfin, ils ont vocation effectuer le suivi du processus dintgration en dfinissant des indicateurs de suivi des performances, notamment de ralisation des synergies et en
rapportant rgulirement sur les progrs enregistrs ou, au contraire, sur les
difficults rencontres lors des runions du comit dintgration.
Audit post-acquisition : capitaliser lexprience acquise

La premire responsabilit des auditeurs internes devrait tre de conduire un
audit post-acquisition dans un dlai de six mois un an aprs la conclusion
Cette mission sest singulirement renforce depuis loccurrence des scandales financiers du dbut des annes 2000. En France comme aux tats-Unis,
la qualit du contrle interne dans les entreprises cotes est devenue lobjet
dune surveillance troite par les autorits de rgulation des marchs financiers. Lobligation pour les dirigeants de rapporter chaque anne sur les procdures de contrle interne (avec des primtres variables selon les pays)
confre de fait un rle renforc en matire de gouvernance dentreprise la
fonction daudit interne. On observe dailleurs que les budgets, les effectifs et
le nombre de runions avec le comit daudit ont considrablement augment aux tats-Unis depuis 2002 (Carcello et al., 2005).
La possibilit pour une entreprise de capitaliser lexprience acquise lors
doprations antrieures de fusions-acquisitions est discute par la littrature.
Dune part, le caractre non routinier dune telle opration rendrait dlicate
lamorce dun processus dapprentissage organisationnel. Les dirigeants disposant dune exprience antrieure russie auraient tendance rpliquer
mcaniquement les processus dintgration utiliss dans le pass sans tenir
compte des spcificits des nouvelles acquisitions, surtout sils ont peu
dexprience en la matire (Haleblian et Finkelstein, 1999). Dautre part,
lorsquelles pratiquent une politique systmatique dacquisition, les entreprises semblent tre en mesure de bnficier deffets dapprentissage (Finkelstein
et Haleblian, 2002 ; Rovit et Lemire, 2003).
Lauditeur interne devrait tre la cheville ouvrire de ce processus qui passe
par une codification de lexprience acquise par les membres des quipes
dintgration. En effet, celle-ci est de nature tacite et donc difficilement
communicable au sein de lentreprise. Si rien nest entrepris pour en conserver une trace crite et organise, la transmission des savoir-faire acquis se
limitera des rcits anecdotiques non structurs, de peu de valeur en termes
Groupe Eyrolles
de la transaction afin de vrifier que les objectifs spcifiques de lopration

ont bien t atteints. Le rsultat de cet audit doit tre communiqu au
comit daudit et au conseil dadministration. Nous avons voqu plus haut
les risques de conduite opportuniste du dirigeant lors des dcisions de
regroupement dentreprises. Le rle de lauditeur interne cet gard sinscrit
dans sa mission gnrale en matire de gouvernance dentreprise, une mission damlioration de la qualit de cette gouvernance, grce une communication rgulire avec les auditeurs lgaux, le comit daudit et lquipe
dirigeante (Gramling et al., 2004). Naturellement, sa capacit remplir
effectivement ce rle est subordonne au respect de deux conditions : une
totale objectivit et une comptence suffisante.
dapprentissage organisationnel. Lauditeur interne doit donc concevoir les

supports qui permettront de recueillir les retours dexprience, diffuser ces
documents aux personnes concernes et faire la synthse des lments
recueillis. Lexprience peut alors tre formalise dans un guide dacquisition. La formalisation du processus permet de rassurer les quipes qui interviendront sur de futures oprations en leur fournissant un cadre structur et
de les maintenir sous tension. Elle doit toutefois viter de tomber dans
lcueil de la rigidit.Toute opration est singulire et il serait vain (et mme
contre-productif) de chercher appliquer chaque fois des recettes identiques.
En pratique
Ainsi, General Motors, qui acquiert en moyenne une centaine dentreprises par an, peut-il tirer profit des expriences passes (Hitt et al., 2001 ;
Markides et Oyon, 1998). Encore faut-il, pour que ces effets dapprentissage se manifestent, que lentreprise acqureuse mette en place les outils
ncessaires la capitalisation de lexprience accumule.
POUR CONCLURE
Les oprations de fusions-acquisitions ont vocation enrichir les actionnaires : cest
tout du moins largument invoqu par les dirigeants pour convaincre les investisseurs
de leur bien-fond. Pourtant, que ce soit au cours de la dcennie 1990 ou lpoque
des raids hostiles des annes 1980, bien des dsillusions ont couronn des deals qui
semblaient prometteurs.
Les causes de ces checs sont diverses :
surestimation des synergies ;
sous-estimation des difficults dintgration et des cots associs ;
mauvaise matrise du processus dintgration ;
Groupe Eyrolles
biais cognitifs divers du dirigeant et de son quipe.

Il sagit l en dfinitive des risques classiques qui sattachent toute prise de dcision
dinvestissement en situation dincertitude. tous ces risques, il faut cependant
ajouter celui dopportunisme du dirigeant. En effet, les fusions-acquisitions
constituent, nous lavons vu, un contexte favorable aux conflits dintrts entre
dirigeants et actionnaires.
Lintervention de lauditeur interne est susceptible de contribuer la matrise des
deux catgories de risques auxquels se trouve expos lactionnaire. Sagissant de la
matrise du risque financier classique, elle relve globalement dune mission
Groupe Eyrolles
dexpression dassurance par lauditeur interne relativement lvaluation des

processus, fonctions et oprations de la cible. Concernant le risque dopportunisme,
la contribution de lauditeur interne sinscrit dans une perspective globale de
gouvernance dentreprise. La mission de lauditeur consiste dans ce cas valuer la
qualit du processus global dacquisition. Lenjeu consiste faire en sorte quune
opration destructrice de valeur puisse tre identifie comme telle et que le conseil
dadministration soit en mesure den bloquer la mise en uvre. Lauditeur interne a
ici vocation collaborer avec le comit daudit, les auditeurs lgaux et lquipe
dirigeante. Son indpendance et son objectivit constituent les garantes de sa
capacit remplir correctement ce rle de protection des actionnaires.
Partie III
La mise en uvre
daudits spcifiques
Chapitre 9
Laudit des fraudes dans les filiales

PAR NOL PONS,
Conseiller au Service Central de Prvention
de la Corruption
ET
VALRIE BERCHE,
Directrice de laudit Groupe la Franaise des Jeux
ace une notion de groupe en elle-mme dj difficile cerner sur le

plan juridique, les effets conjugus de la mondialisation et de la soustraitance, allis la dissmination des centres de dcision dans des rgions trs
disparates sur le plan des langues, des pratiques juridiques, commerciales et
comptables, gnrent des asymtries dinformations significatives entre les
entits dun mme groupe. La fiabilit du systme de reporting, souvent
techniquement complexe, est dans les faits difficile valuer, car elle repose
souvent plus sur des apparences de cohrence que sur une relle pertinence.
Groupe Eyrolles
Sur le plan juridique, on peut dfinir la filiale comme une socit dans
laquelle une autre socit dtient une fraction du capital dfinie selon les
textes juridiques locaux. Les valeurs dtenues infrieures la participation
plancher sont qualifies de valeurs dinvestissement pour la socit propritaire. La filiale est donc une personne morale, mais en situation de dpendance. Il en rsulte plusieurs consquences prvisibles, intgrer dans la
rflexion de lauditeur :
les contrles exercs par la socit mre peuvent tre limits par le positionnement des dirigeants de la structure et par le fait quelle constitue un
centre daffaires autonome vis--vis de ses partenaires et des tiers ;
lautonomie de la filiale se traduit dans les domaines comptables, dans
ceux relatifs la scurit, dans lanalyse des infractions qui prsentent un
caractre pnal ainsi que celles lies aux autres lgislations et rglementations (fiscale, douanire et relative au droit du travail).
222 La mise en uvre daudits spcifiques en environnement international
Les raisons justifiant ces diffrences sont diverses et lhistoire apporte souvent
des explications pertinentes. Ainsi, la socit filiale peut avoir t cre dans
un but bien prcis, par exemple la reprsentation ou la commercialisation
dun produit. Mais elle peut aussi prsenter des caractristiques plus gnrales. Juridiquement, elle appartient en totalit, avec ou sans effet levier, directement la maison mre ou indirectement si cest une autre filiale qui en est
propritaire. De mme peut-elle tre cre en association avec dautres partenaires dans un but particulier. Enfin, elle peut avoir fait lobjet dun rachat,
avec les anciens propritaires prsents ou non dans le capital. Lensemble des
spcificits des filiales requiert pour lauditeur la ncessit de dfinir des
modalits dapproche diffrentes.
Dans le mme ordre dides, les modalits de gestion entre filiales peuvent
tre fort dissemblables, de mme que les objectifs qui leur sont assigns, suivant que la filiale se prsente comme un centre de profit indpendant ou
quelle est intgre au modle conomique du groupe. L encore, les particularits ncessitent la mise en place dun questionnement particulier de la
part de lauditeur.
En rsum, au regard de la fraude, les recherches mener en filiale ne sont
gure diffrentes en termes de mthodologie de celles qui peuvent tre dveloppes au sein de la maison mre, mais elles doivent systmatiquement faire
lobjet dune adaptation qui peut savrer lourde.
Les valuations liminaires

Ces valuations concernent plusieurs domaines et doivent tre ralises dans
tous les cas. La bonne suite des recherches dpend en effet directement de la
pertinence de cette analyse.
Lorganisation pratique de la mission daudit
Lorsque les oprations ne sont pas sous-traites des services de contrle
spcialiss, il convient dintgrer imprativement les points suivants :
apprcier lenvironnement spcifique du pays au regard des risques, des
mthodes de travail, de la conduite des entretiens et de la faisabilit des tests ;
Groupe Eyrolles
De plus, il nexiste pas au sein dun groupe deux filiales prsentant les mmes
caractristiques ni le mme degr dautonomie. Chacune ncessite donc une
approche adapte sa situation spcifique.
Laudit des fraudes dans les filiales 223
identifier, au sein des filiales auditer, le poids de cet environnement et

des risques associs, au travers dventuels historiques existants et
dinterviews ;
mettre au point la liste des personnes rencontrer et prparer les entretiens (introductifs, de collecte dinformation et de confirmation ou de
clture) ;
identifier les pratiques et les mthodes les plus efficientes devant tre
approfondies pour rechercher les preuves des fraudes ou pour dmontrer
labsence de malversations ;
dvelopper une analyse avec les juristes locaux et ceux de la maison mre
afin didentifier les consquences juridiques des lments qui peuvent tre
mis en vidence ;
organiser lquipe daudit de manire ce que les auditeurs fassent preuve
dadaptabilit, dune connaissance suffisante de la langue, de la culture et
des particularits locales, notamment sur le plan comptable ;
agencer matriellement les travaux de manire ce que lorganisation
logistique et les impratifs du calendrier soient respects ;
au final, savoir sappuyer sur les normes locales et sadapter tout en se rfrant aux normes daudit et aux mthodologies prouves en matire de
recherche de preuves, de manire viter l enfumage .
Sur lenvironnement du support de gestion commerciale
Groupe Eyrolles
La premire approche mener pour lauditeur concerne le support informatis, qui sous-tend notamment lensemble des oprations de reporting. En
effet, la crdibilit des comptes transmis est toute entire assise sur cet lment. Les autres analyses, en particulier celles relevant des processus mtiers,
sont complmentaires celle-ci, tant donn que toute recherche portant sur
les failles releves dans les processus ne permet pas de montrer les carences ou
des montages intgrs dans les fichiers relatifs la gestion commerciale.
Dans un environnement informatis, o les procdures comptables et de
gestion sont troitement lies, la fraude ralise au profit ou aux dpens de
lentreprise utilisatrice intgre ncessairement des manipulations au niveau
des procdures informatiques, justement pour effacer les effets trop vidents
de la fraude.Trois domaines sont particulirement sensibles en la matire :
la gestion de la trsorerie et des moyens de paiements (analyse p. 237) ;
les flux de marchandises ou les prestations ralises avec la facturation

associe ;
la comptabilit qui peut donner lieu des oprations dajustement.
Puis vient le moment de dcliner lapproche daudit pour chacun des domaines identifis de gestion informatise, sous forme de questions cls pour la
trsorerie, la facturation et la comptabilit.
Pour la trsorerie :
existe-il des ventes ou des prestations payes au comptant ? Comment
sont grs les moyens de paiements ?
comment fonctionne la procdure de mise en paiement dune dpense
ou dun achat ? Utilise-t-on des moyens de paiement automatiques ?
comment soprent les rapprochements bancaires ? Avec la caisse ? Avec
les comptes de trsorerie ?
Pour la facturation :
existe-il des avoirs ? Quelles sont les procdures et les typologies de
facturation ? Quels montants et quels usages documentaires sont utiliss ?
comment soprent les entres et sorties de marchandises ? Quelles sont
les diffrentes procdures de facturation ?
existe-il des retours de marchandises ? Demballages ? Quels procds,
quels modes de gestion et quels enjeux financiers ?
Pour la comptabilit :
comment seffectuent les transferts des factures en comptabilit ?
existe-il des critures doprations diverses ?
peut-on supprimer une criture comptable, une facture ou un avoir ?
peut-on d-clturer une priode comptable acheve ?
Si le questionnement laisse apparatre lexistence dune ou de plusieurs de ces
opportunits, le risque de fraude est demble trs significatif.
Groupe Eyrolles
Sur le plan pratique, il est essentiel de commencer par identifier les progiciels
et les logiciels utiliss et comprendre comment le millefeuille informatique fonctionne, cest--dire comment les diverses informations sont entres
et communiquent entre elles. Lobjectif est de sassurer que les principes de
base de la comptabilit sont appliqus, et que le ou les systmes utiliss respectent les quatre rgles dor : imputabilit, traabilit, non-rpudiation et
auditabilit .
Lexistence de dispositifs de contrle interne

Lexistence et la qualit du contrle interne doivent tre values en fonction
de la nature de lorganisation, notamment selon que le groupe est centralis
ou plus ouvert. Lanalyse conduire porte essentiellement sur lenvironnement de contrle, lvaluation des risques, la nature des activits de contrle,
enfin le pilotage de son fonctionnement.
Lobjectif de lauditeur, dans sa mission au sein des filiales, est de valider les
quatre points suivants :
sil existe des dispositifs de contrle interne avrs ;
si ces dispositifs sont effectivement mis en uvre et sils sont pertinents ;
le cas chant, la nature des failles identifies et le risque associ ;
quels collaborateurs sont chargs de la mise en place, de lvaluation, du
pilotage et du reporting de cette activit.
Il sagit de rechercher en particulier lexistence dun tableau de bord gnral,
tabli par chacun des services intervenants, puis den valider la pertinence.
Les procdures existantes en matire de gestion des incidents, des dysfonctionnements et des crises sont galement examines.
Lexistence dune relle sparation des fonctions

La notion de sparation des pouvoirs ou des fonctions constitue lun des lments fondamentaux dun dispositif efficient de contrle interne. Nous
lavons cependant trait part du fait de son importance dans larticulation
du contrle sur le risque de fraude.
Le dveloppement des systmes informatiss met justement frquemment
mal ce principe de sparation des pouvoirs. En effet, ces systmes gnrent
des oprations suivies et systmatiques qui respectent de moins en moins les
sparations ncessaires au bon contrle des oprations.
Groupe Eyrolles
Il est aussi ncessaire de raliser un test sur la qualit des habilitations informatiques, afin de rpondre plus prcisment aux quatre dernires questions
prcdentes.

Les pouvoirs, les dlgations et les responsabilits de chacun sont-ils
bien dfinis, connus de tous et correspondent-ils la ralit constate ?
Tous les responsables ayant quitt la structure ont-ils perdu leur dlgation et leurs avantages ?
Les rgles et les procdures (manuelles ou informatiques) sont-elles clairement dfinies et connues de tous ?
Le risque de doublon des tches est-il prsent ?
Un risque dabsence de contrles existe-t-il ?
Au regard des carences releves, le risque de fraude est-il prsent et
quel niveau ?
Existe-t-il un risque de dtournements dactifs ?
Les fraudes gnriques

Les filiales peuvent tre utilises, quel que soit leur degr dintgration,
comme autant de socits crans pour raliser des montages des fins frauduleuses, qui bnficient la maison mre ou des personnes physiques. Si
les deux premiers types de montages sont raliss au profit de la maison mre,
le troisime, lui, est, au contraire, labor lencontre de la maison mre.
Selon des procds trs classiques, la manipulation des comptes des filiales
permet de majorer les produits de la filiale, mais aussi de la maison mre. Il
est aussi possible de faire glisser des produits dune structure une autre afin
de minorer les produits ou de majorer les charges. Ces manipulations sont
rcurrentes lorsquil sagit dorganiser un dtournement personnel.
Lamlioration de la prsentation des comptes

Les montages les plus connus doivent tre recherchs dans les manipulations
mises en place par Enron, Worldcom et Parmalat, qui ont install la filiale
comme pivot de montage frauduleux permettant de manipuler les comptes.
Les conseils dEnron ont largement utilis ces structures dans le but de dgager les crances injustifies de leurs comptes. Le montage labor tait alors
le suivant.
Groupe Eyrolles
Peut-il exister des engagements non autoriss ?
En pratique
Une structure de ce type est cre, avec sa tte un responsable des banques engages auprs dEnron ou un manager de niveau moyen de cette
dernire. Puis Enron cautionne un prt consenti par ces mmes banques
ces Special Purpose Entities . Lachat par ces socits des crances
injustifies libre Enron des pertes correspondantes et gnre mcaniquement un produit. Celui-ci est fictif, mais une fois la caution camoufle ,
la situation de trsorerie est amliore. Sur ces oprations, les analystes
financiers peu perspicaces identifient une situation intressante et proposent laction lachat, ce qui augmente la valeur boursire.
Sur la dure, ce chteau de cartes ne pouvait que seffondrer. Prs de neuf

cents filiales attaches directement ou indirectement Enron ont ainsi t
dmasques. Le montage est assez complexe, mais il le valait bien , dans la
mesure o les managers retiraient un intrt considrable de ces oprations
du fait de laugmentation de la valeur boursire de leurs titres ainsi que de
lutilisation de stock-options.
Dans un cas similaire, les contrles de nature identifier les indicateurs
dalertes pourraient tre les suivants :
qui est lactionnaire majoritaire de la socit, gre-t-il dautres socits ?
quel est son pourcentage de participation et quels sont les autres dtenteurs dactions ?
quelle est la date de cration de la socit ?
quel est son principal client ?
quels sont ses principaux fournisseurs ?
do provient la trsorerie (emprunts, fonds propres, avances de la maison
mre ou du groupe, etc.) ?
qui sont les dirigeants ?
qui sest port caution pour les prts au cas o la socit ne disposerait pas
de suffisamment de trsorerie pour racheter les crances douteuses ?
Groupe Eyrolles
Une rponse positive deux ou trois de ces questions constitue un indicateur

fort du risque dutilisation de la filiale un montage frauduleux.
La modification des valeurs de transfert

Les changes relevant de la valeur de transfert des biens ou des services vont
affecter les comptes dexploitation, et donc les stocks, les travaux en cours et
Bien entendu, chacune de ces manipulations entranera une succession de

montages qui affecteront les documents justificatifs de manire garder une
apparence formelle indiscutable. En termes de consolidation des comptes,
cela ne change rien. En revanche, le gain est immense en termes de trsorerie. Deux types de transactions seront constats : celles qui affecteront les
transferts de biens et celles qui affecteront ceux des services.
Modifier la valeur de transfert dun bien ou de services pour localiser une
taxation ne constitue pas une manipulation inconnue. Elle savre mme trs
ancienne et reste dune redoutable efficacit. Ainsi est-il possible damnager
des ventes de produits un prix minor dans le cadre dune socit franaise
exportatrice. Lintrt de lopration est double : il affecte la minoration de la
taxation en France et le transfert des fonds et de la marge dans la socit qui
joue un rle dcran.
Une manipulation existante rside aussi dans lactivit de formalisation des
pices justificatives et de collecteur de fonds dans un paradis fiscal ou dans un
pays moins impos. Il est galement possible de majorer les achats. Dans ce cas,
la majoration des comptes de charges diminue dautant les bnfices imposables en France et localise les produits dans un pays fiscalit privilgie.
Ces mcanismes nont dintrt que si linstigateur, par ailleurs bnficiaire
du montage, dtient le pouvoir effectif dans la socit de facturation situe
dans un paradis fiscal. En effet, ne pas tre prsent dans la socit de facturation fait courir le risque de devoir partager les fonds mis labri . En consquence, il faut imprativement dtenir, directement ou indirectement (par
leffet levier) la majorit du capital de cette socit et tre en mesure de les
grer. En revanche, il nest pas ncessaire ni mme souhaitable que les socits
complices obliges ou volontaires dtiennent une participation dans les entits de facturation.
On constate donc que les oprations dcrites ci-avant consistent essentiellement trafiquer les valeurs dchange. Ce type de manipulation est com-
Groupe Eyrolles
en dernier lieu les comptes financiers. partir des caractristiques fiscales

propres aux tats dans lesquels le groupe a install des filiales, il est tentant de
modifier la valeur des facturations par le biais dune majoration des prix unitaires. Cela revient, en clair, augmenter la valeur de cession des biens dans
le pays qui prsente la charge fiscale la moins contraignante ou dans lequel les
informations ont le plus de peine sortir, donc y domicilier le maximum
de bnfices, et faire supporter la charge la plus lourde aux filiales situes
dans les pays fiscalit lourde.
munment rattach la notion de fraude fiscale. Dans de nombreux cas, de

plus en plus frquents dailleurs, il sagit dun leurre qui, sous un aspect tort
communment admis, camoufle des oprations moins avouables comme des
paiements de commissions ou des camouflages de produits lencontre des
actionnaires.
Le questionnement suivant concerne le seul montage frauduleux. Si aucune
activit ne peut tre rattache la filiale qui facture, la fraude est vidente.
Quelle a t la procdure de dtermination du prix de transfert choisie ?
La filiale qui facture exerce-t-elle une activit dans le cadre du cycle commercial du produit concern (domiciliation, stockage, rpartition, etc.) ?
Quelles sont les caractristiques de la filiale (cration, capital, nombre
de salaris etc.) ?
Les prestations immatrielles factures propos des produits sont-elles
valuables ou pas ?
Lactionnariat est-il au courant des pratiques de la filiale ?
Les fraudes des managers des filiales

Le positionnement des managers dans une filiale peu matrise prsente
quelques risques dans la mesure o il est possible de transformer des revenus
acquis la filiale en revenus personnels non dclars ou en avantages en
nature consquents. Sils disposent dune autonomie non contrle, leur
situation les rend aptes en tirer une foule davantages personnels.
Groupe Eyrolles
En pratique
Dans la filiale investissement dun groupe important, des dtournements considrables, 20 millions de francs environ, sont raliss par un
directeur qui achetait pour la maison mre des terrains qui nexistaient
pas.
Un responsable de la filiale charge de grer la construction de magasins
a monnay lattribution de contrats de construction contre des pots-de-vin
valus plusieurs dizaines de millions deuros.
Dans le secteur de la publicit, tel directeur de filiale dtournait pour son
propre compte les ristournes offertes par des chanes tlvises.
Il existe dans ce cas deux niveaux dcrans qui se superposent : celui propre
la filiale et celui de la socit intermdiaire. Ces crans permettent de
camoufler la destination des fonds dtourns, car ces montages ressemblent
de vritables oprations commerciales et sont prsents comme tels. On peut
notamment citer la cration de socits extrieures lentreprise dont lobjet
est lexportation des produits commercialiss par lentreprise. Cet artifice
permet, au travers de ces socits crans, de ponctionner une partie de la
marge de la socit titre personnel sans que le contrle interne puisse
sappliquer. Nous terminerons par le tlguidage du sponsoring. Le
manager aiguille le sponsoring de la filiale vers des supports quil contrle ou
dans lesquels il a des intrts. Cest un moyen efficace de sassurer, de
manire indirecte, la fidlit de clients ou de fournisseurs au travers dune
opration mdiatise.
Le questionnement au regard de ces types de risques pourrait sorganiser
autour des points suivants :
quel est le degr rel du contrle de la gestion du manager ? En existe-t-il
un ? Ne peut-il pas tre camoufl par une sparation apparente des
tches ?
quel est le degr dimplication du manager local dans les dcisions lourdes
en termes dengagement ou de cot ?
quelle est la qualit du reporting de ce dernier vers la maison mre ?
quelle est la valeur globale de ses engagements au regard de la gestion de
lentreprise ?
le retour sur investissement des oprations engages par le manager a-t-il
t valu ?
quelles sont les structures lies aux oprations engages par ce dernier
(conseils, facilitateurs, socits civiles, fournisseurs, avocats, comptables) ?
quel est le chiffre daffaires ralis par ces derniers au regard de celui constat dans la filiale ? Sommes-nous en prsence dune situation de rente ?
existe-t-il des situations lourdes en charges et qualifies de domaine
rserv ?
Plusieurs rponses positives ces questions constituent des indicateurs de la
prsence dun risque de dtournement par le dirigeant.
Groupe Eyrolles
Ces montages, qui dnotent une carence de contrles, restent cependant

atypiques si on les compare aux montages effectus avec des socits crans.
La fraude des employs

Les employs peuvent aussi participer de faon importante aux manipulations. On affecte ces derniers, si tant est quil soit possible dvaluer les fraudes, 80 % environ des fraudes totales en nombre. En valeur, le pourcentage
pourrait bien tre invers. La fraude des employs dans les filiales correspond
pour partie aux pratiques gnrales. En revanche, la spcificit en termes de
filiale ou de pays intervient de faon considrable dans les comportements.
Les typologies des fraudes classiques

Utilisables dans les filiales comme dans les socits centralises, elles sont,
dans la plupart des cas, dues une carence dans le processus de matrise
dactivit ou dans lapplication de ce processus. Les fraudes les plus communment pratiques peuvent tre classes par processus mtier et sont organises autour de mthodes relativement simples et connues depuis des lustres.
Les processus dachats

Ils peuvent tre affects dabord par la manipulation des procdures relatives
lachat. Cela se traduit essentiellement par une surfacturation des prestations
ou des achats facturs la socit. Cependant, cette surfacturation ncessite
lintervention du fournisseur qui doit tre partie prenante au montage pour
que la rcupration des fonds soit possible. Les pratiques de fractionnement
des marchs le plus souvent utilises permettent notamment de ne pas dpasser les limites des dlgations dengagements autorises.
Groupe Eyrolles
Les montages dits des comptables sont beaucoup plus simples, mme sils
ne sont pas aiss dceler.
Dautres manipulations sont bien moins sophistiques, mais restent redoutablement efficaces. Il sagit de rintroduire dans la comptabilit des factures
dj inscrites dans les comptes et payes. Si le systme comptable ne prvoit
pas de blocage sur ce point ou sil nest pas dfinitif, le fraudeur pourra rutiliser ce document (papier ou numris) pour gnrer un paiement son profit. Il faudra, au pralable, avoir cr un nouveau compte bancaire pour
bnficier pleinement du montage.
Lun des cas relativement utilis est celui du double paiement dun
fournisseur : une facture dj rgle est rinjecte dans le circuit, mais avec
une adresse bancaire diffrente.
Il est possible de crer un fournisseur fictif et de lintgrer la liste des fournisseurs lorsquelle existe. Cette cration, qui relve du faux le plus strict,
gnre lmission dune facture justifiant le paiement sans que le processus
ne soit aucun moment affect. De plus, en termes de fraude, le risque
dtre identifi intervient au moment o le fournisseur est cr. Une fois la
structure intgre dans la liste des fournisseurs, elle peut fonctionner longtemps sans aucun problme. En lespce, lors de lanalyse des comptes
fournisseurs, aucune irrgularit apparente ne permet dindiquer la prsence dun risque. La cration de toutes pices dun fournisseur nest pas le
seul montage envisageable, il est simplement lun des plus labors.
Les autres montages de mme nature consistent en gnral utiliser un
fournisseur dormant pour simuler une facturation ; on aura au pralable
pris le soin de crer un nouveau compte bancaire pour recevoir les fonds.
Ce procd est assez pertinent, car il utilise une structure dj intgre
dans les tables.
Enfin, en cas dabsence ou de carence ponctuelle de contrle, le fraudeur

peut gnrer des achats dont la socit na nul besoin, mais quil utilise titre
personnel.
Bien entendu, chaque situation constitue un cas despce, le fraudeur utilisant les moyens dont il dispose et les carences du contrle pour organiser ses
manipulations. En outre, chaque point didentification est celui auquel le
fraudeur na pas accs dans le processus. Lanalyse dune carence ou dun
manque dans le processus concern permet didentifier le point de dpart du
montage.
Une autre modalit de manipulation consiste acheter plus de produits que
ncessaire ce qui permet lacheteur de bnficier de cadeaux, de voyages
ou dune situation privilgie. cet gard, le questionnement pos peut tre
le suivant.
1. Au regard de la slection des fournisseurs pour les filiales importantes :
Existe-t-il une procdure dagrment des fournisseurs encadre par des
planchers dautorisation ?
/
Groupe Eyrolles
En pratique
Existe-t-il une remonte systmatique des factures situes juste en dessous des montants dlgus ?
A-t-on mis en place une extraction systmatique des fournisseurs intrus
(non inclus dans les listes) et une analyse des chiffres daffaires raliss
de la prestation et des modalits de rglement ?
A-t-on mis en place une remonte systmatique des modifications des
fichiers fournisseurs, en particulier celles concernant les identifiants
bancaires ?
A-t-on corrl les retours de fabrication, les avoirs, les problmes divers
relatifs aux produits avec les fournisseurs concerns ?
Dispose-t-on dune analyse portant sur les chiffres daffaires, les modalits de paiement, les dates de cration et la crdibilit conomique des
fournisseurs concerns ?
Est-il possible de corrler ces analyses avec un responsable local ?
2. Au regard de la mise en place des processus :
Une sparation des tches existe-t-elle entre les trois moments forts de
lachat (commande, rception/validation et paiement) ?
Existe-t-il une liste des forages du systme de gestion (tous les forages)
et est-elle utilise des fins de contrle ?
Les lments relevant de la trsorerie font-ils lobjet dun encadrement
pertinent ?
Une analyse de lexistence et de lexplication de doublons est-elle
effectue ?
Une analyse est-elle effectue systmatiquement entre les budgets et la
ralisation dfinitive des oprations ?
Ces analyses sont-elles corrles avec les problmes relevs dans la gestion des stocks ?
Groupe Eyrolles
Les processus de ventes

Les fraudes dans le processus des ventes prsentent peu de choses prs les
mmes caractristiques que celles dclines dans les achats. Elles sont simplement constitues flux renvers. Les fraudes relatives aux achats augmentent
les sorties de manire illgitime alors que les fraudes relatives aux ventes
diminuent les produits.
La cration dun client fictif est une vielle histoire Elle permet de faire
bnficier indirectement celui qui la met en place de bonus ou de commissions plus importantes. En effet, la vente qui lui est affecte est comptabilise
comme une vente relle. En ce sens, elle rentre dans le calcul du bonus. En
revanche, lorsque le paiement nest pas effectu, qui va payer ? Les avoirs ne
diminuent pas les sommes dj obtenues pour les fraudeurs.
Les montages effectus autour des facturations sont lgion et affectent le service commercial. Il sagit de vendre moins cher des produits une socit
lie, ce qui se matrialise par un manque gagner. On lidentifie en gnral
partir du calcul de la moyenne des remises. Cest alors le client avantag qui
bnficie des sommes au dtriment de la socit qui a vendu. Les sommes
peuvent tre partages entre les complices. Cette pratique est utilise frquemment lorsque les socits sont proches de la liquidation. Ce montage
souvent coupl avec celui mettant en uvre un client fictif permet dextraire
de la socit des produits qui seront ngocis au noir.
Les manipulations de facturation ou despces constituent le moyen le plus
frquent pour dtourner des sommes. Il sagit de manipulations qui consistent crmer les comptes clients, cest--dire que le fraudeur va dtourner
une partie des espces qui devraient tre comptabilises au compte client ou
mettre des factures avec des acomptes, encaisser ceux-ci titre personnel et
crer une nouvelle facture sans indiquer leur existence. Ceci ne peut cependant pas tre effectu avec tous les clients et ncessite, pour en bnficier,
une bonne connaissance du fichier client.
On remarquera que lanalyse des fraudes partir des comptes clients est similaire celle effectue partir des comptes fournisseurs. La seule diffrence
tient la nature des flux qui est inverse. Le questionnement pouvant tre
dvelopp sera le suivant.
Au regard de la slection des clients pour les filiales importantes :
existe-t-il une procdure dagrment des clients encadre par des planchers dautorisation, des taux de remises et des modalits de rglement ?
existe-t-il une remonte systmatique des factures mises situes juste en
dessous des montants dlgus ou des taux fixs ?
Groupe Eyrolles
Il est aussi intressant de crer des clients fictifs, qui jouent le rle dcran
lorsque le fraudeur dsire dtourner des produits. Le client ne paye pas et
lorganisateur peut vendre les produits pour son propre compte. La grande
criminalit utilise largement ce systme pour agresser les entreprises et les
dpouiller de la valeur facture.
a-t-on mis en place une extraction systmatique des clients intrus (non
inclus dans les listes) et une analyse des chiffres daffaires raliss et des
modalits de rglement ?
a-t-on mis en place une remonte systmatique des modifications des
fichiers clients, en particulier celles qui concernent les identifiants
bancaires ?
a-t-on corrl les retours de fabrication, les avoirs, les problmes divers
relatifs aux produits avec les clients concerns et les commerciaux ?
dispose-t-on dune analyse portant sur les chiffres daffaires, les modalits
de paiement, les dates de cration et la crdibilit conomique des clients
concerns ?
est-il possible de corrler ces analyses avec un responsable local ?
Au regard de la mise en place des processus :
une sparation des tches existe-t-elle entre les trois moments forts de la
vente (commande, rception/validation des taux, sortie de stock et
paiement) ?
existe-t-il une liste des forages du systme de gestion (tous les forages)
et est-elle utilise des fins de contrle ?
les lments relevant de la trsorerie font-ils lobjet dun encadrement
pertinent ?
une analyse de lexistence et de lexplication de doublons est-elle
effectue ?
une analyse est-elle effectue systmatiquement entre les budgets et la
ralisation dfinitive des oprations ?
ces analyses sont-elles corrles avec les problmes relevs dans la gestion
des stocks ?
Groupe Eyrolles
Les processus de salaires

Les processus relatifs aux fraudes sur les salaires dans les filiales sont bien
connus, et pour les socits installes dans des tats moins contrls, les
opportunits sont bien plus ouvertes que dans les maisons mres o lon
risque plus didentifier des salaris fictifs installs pour des raisons politiques
ou de lobbying. Les montages sont donc assez simples et peuvent tre classs
en trois catgories.
La premire catgorie regroupe les faux salaris ou les salaris fantmes. Il
sagit de salaris ajouts sur les fichiers de salaires et qui nont pas dexistence
si ce nest celle de gnrer de vrais paiements pour le fraudeur. Ces faux salaris peuvent tre intgrs dans le systme comptable, mais il arrive souvent
que le montage consiste continuer payer un salari qui a quitt la structure. Lorsquil existe des cas de sous-traitance sur plusieurs sites non contrls, il arrive que les mmes salaris soient facturs plusieurs fois. Le fait que,
dans de nombreux pays, les paiements soient effectus en espces, rend plus
difficile le contrle.
Le dernier cas est celui des remboursements de frais qui peut se dcliner de
diverses manires, suivant laccs dont dispose le fraudeur au systme informatis. Ces remboursements peuvent tre totalement faux, mais il est aussi
possible de les comptabiliser plusieurs fois. On suit en cela le systme classique des manipulations frauduleuses.
Le questionnement pos peut tre le suivant.

Existe-t-il une sparation des fonctions entre le recrutement, la paie et la
clture des dossiers de personnel ?
Existe-t-il des procdures au moment de lentre et du dpart des
personnels ?
Lensemble du personnel est-il soumis un mme rgime ? Dans ce cas,
comment est organis le rgime des personnels hors systme ? Quel est
le responsable concern ?
Existe-t-il un fichier du personnel fiable prsentant des informations suffisantes, pertinentes et utiles ?
Existe-t-il une possibilit de rapprochement des fichiers de paie ? Si oui,
est-il utilisable dans la filiale et dans ses divers sites ?
Existe-t-il une liaison et un contrle portant sur le relev des heures travailles et un contrle est-il possible avec la paie ?
Existe-t-il une politique de remboursements des frais ? Est-elle applique ?
Existe-t-il une politique dencadrement des avances et de leur remboursement ?
Groupe Eyrolles
La seconde catgorie de montages concerne des modifications de taux ou

une augmentation des salaires au profit de certaines personnes. Dans ce cas,
les amitis, les prfrences, sont souvent largement rmunres.
Au cas o des rponses ngatives affectent plusieurs questions ou si les paiements en espces excdent la moyenne releve dans des structures similaires,
nous sommes en prsence dindicateurs forts de risque.
Le processus de trsorerie
Dans ce processus, on relve des possibilits de dtournement considrables.
Il sagit dans la plupart des cas derreurs ou de manipulations autour de la
caisse ou de la gestion des comptes bancaires et des titres de paiement.
Les techniques de fraudes relatives aux dpts et aux recettes en espces sont
utilisables si les fonctions ne sont pas spares et si les rapprochements bancaires et relatifs aux stocks sont approximatifs. On relve ici quelques pratiques trs connues.
En pratique
Il en va ainsi de lcrmage de la trsorerie avant que les espces ne soient
entres dans le systme. Il peut se produire au cours de ventes sur site ou
hors site. Le problme pos aux fraudeurs est celui de lquilibre des comptes, en particulier partir des valuations de stock. Le fraudeur est oblig
de rgulariser les oprations avec des faux avoirs, des faux retours, ou des
provisions pour dprciation ou pour vol dans les inventaires.
Les erreurs de caisse constituent aussi un bon moyen de dtourner des
fonds titre personnel. Le problme qui se pose est celui de lenregistrement des oprations, car ce stade, tout est enregistr.
Groupe Eyrolles
Par ailleurs, les dtournements sur les retours de produits constituent un

moyen antdiluvien de fraude. Ils consistent enregistrer le retour, rembourser le produit au client mcontent, puis garder le produit et le revendre sans quil retourne dans linventaire.
Le dtournement de fonds sur les comptes clients, masqu par des oprations
fictives (kitting) constitue aussi un bon support de dtournement. La seule
manire de le mettre en vidence, outre la maladie ou les vacances du fraudeur, consiste identifier les transferts interbancaires non justifis par des
oprations relles.
Enfin, cela recouvre toutes les oprations pouvant tre ralises partir de
formules bancaires dtournes.
La gestion de la trsorerie et des placements prsente une typologie assez diffrente. Les risques du courtage, les dtournements dintrts dus, les aides
illgitimes des structures tiers ainsi quun risque de blanchiment seront mis
en vidence.
Les fraudes lies aux oprations de courtage sont relativement frquentes

dans ce domaine. En effet, un courtier peu scrupuleux peut tre utilis
comme une structure cran. Son intervention est pertinente, car elle cre
une structure intermdiaire crdible et renchrit une prestation. Le supplment illgitime peut tre partag avec le responsable qui autorise la manipulation. Le constat dune faiblesse du contrle, dune prise de dcision
unilatrale et le fait que certains courtiers aient des taux de commission
hors norme de manire constante sont des indicateurs de risque majeurs.
Les placements financiers dans un tablissement situ dans un paradis fiscal

peuvent aussi tre manipuls. Le contrat officiel est minor dun point environ, la diffrence est verse sur le compte de celui qui a organis le montage.
Sur plusieurs centaines de millions placs, le dtournement est considrable.
La fraude est btie sur un conflit dintrt. La stabilit illogique de lutilisation de telle ou telle structure, bien que peu profitable, une prise de dcision
sans partage et une absence, voire une opposition certaine de certains managers mettre en place des comparaisons, constituent les indicateurs les plus
pertinents.
Dans le mme ordre dide, on peut constater la prsence daides financires,
souvent temporaires et non documentes dans la comptabilit des entreprises
appartenant des dirigeants ou des actionnaires. Ainsi, utiliser un courtier
complice pour organiser le dtournement est assez pratiqu.
Il est aussi possible de blanchir en mettant disposition dun dlinquant les
comptes dune structure. Ici, la corruption est souvent le moteur de lopration. Les indicateurs sont assez simples : le constat de flux financiers anormalement importants coupls avec une tunnelisation de la pseudo-activit, la
rapidit des transferts ainsi que loccurrence des faits lorsque telle personne
est aux commandes. En son absence, rien de tel ne se produit.
Ainsi, la recherche de la fraude ncessite-t-elle une mthodologie consomme et une grande dbauche de croisements dinformations, alors que la
mise en place du montage lui-mme est souvent relativement simple.
Groupe Eyrolles
En pratique
Le questionnement qui pourra tre pos sera le suivant. Au regard de la scurit des locaux et des documents :
les moyens de paiement et les locaux dans lesquels ils se trouvent sont-ils
protgs ?
les donnes relatives aux partenaires des socits sont-elles protges ?
est-il prvu de confier des tches relatives au paiement des employs stagiaires ou temporaires ?
Les typologies relevant du risque pays

Laudit des filiales ncessite lintgration dun risque pays qui recouvre un
certain nombre dlments connus et reconnus dans le domaine de laudit.
Les particularismes trangers sont divers, mais nous nen retiendrons que
cinq qui mergent particulirement fortement : les particularismes culturel,
linguistique, juridique, commercial et comptable et fiscal. Cet audit recouvre
aussi trois risques particuliers rattachs laction criminelle : le risque de
chantage, celui dencadrement mafieux, enfin le risque dutilisation de la
filiale comme support de blanchiment.
Si le risque pays est relativement couvert, les autres le sont moins. En effet,
dans le plus grand nombre de cas, le groupe recherche une homognit des
pratiques, en particulier partir de notions communes qui constituent le
vritable ciment du groupe.
Groupe Eyrolles
Pour ce qui relve des enlvements, ce procd est toujours largement utilis
par le grand banditisme et par des structures terroristes. Les premiers en retirent des espces et crent la peur qui assoie leur pouvoir conomique. Les
seconds y voient un moyen ais dobtenir notorit, provocation et finances.
Ces enlvements sont conomiques , raliss par des organisations criminelles plus ou moins structures, dont lobjectif est, pour le coup, le seul
profit financier. videmment, ce sont les entreprises qui sont les premires
vises, car elles sont considres comme susceptibles de payer.
Le chantage mafieux est assez frquent : les groupes criminels organiss proposent alors une protection contre un risque qui nexiste pas sils ne sont pas
prsents. Cette protection peut prendre diverses formes. Les modalits du
prlvement stendent depuis le versement classique despces dont on dispose partir de fausses factures et de socits crans jusquaux prestations de
scurit, de gardiennage, ou dintermdiation rendues par des entreprises
lies aux criminels.
En pratique
Quant lintervention dans les socits au titre du blanchiment, les montages

les plus usits restent assez quelconques. Depuis la filiale dvoye au blanchiment, dans laquelle le grant utilise sa socit comme outil de blanchiment,
jusqu laugmentation autorise du chiffre daffaires, tout est possible pour
augmenter les produits si lon nest pas impliqu dans une dmarche dontologique. Les pratiques sont simples : augmenter les rsultats par des pseudoventes payes en espces (fausses factures des socits crans en appui), initier des flux de commande payes en avance et jamais livres ou raliser des
oprations ponctuelles forte marge.
Pour celui qui travaille sans souci dthique, lintrt est fort : il est respect,
car il apporte un chiffre daffaires considrable, allg des charges, et en retire
des boni sur le chiffre daffaires. De mme, le chantage, pouvant aller jusqu
la corruption du responsable financier, est trs recherch. Il met en effet
disposition des blanchisseurs loutil financier de la socit dans le but de ne
pas attirer lattention des services des banques.
Le questionnement dans ce secteur pourrait tre le suivant.
1. Au regard des donnes gnrales issues de la filiale :
A-t-on compar le chiffre daffaires de la filiale et la remonte de trsorerie et celui gnralement constat dans le secteur ?
Les bons rsultats sont-ils cohrents avec ce qui est constat dans des
situations similaires (benchmarking) ?
A-t-on identifi lorigine des remontes de trsorerie (dates, type de
paiement, lieux, vente au dtail) ?
Le constat est-il crdible eu gard lexprience locale ?
Groupe Eyrolles
Dans certains pays, ces enlvements conomiques se sont transforms

en une vritable industrie criminelle. Les enlvements peuvent tre cibls ou
effectus partir doprations alatoires. Le plus souvent, des dlinquants
primaires enlvent tous les trangers qui entrent dans leur primtre, et en
fonction de la nationalit, de la qualit du prix qui peut tre vers,
revendent les otages des groupes qui les utiliseront politiquement ou
pas. Il sagit dun vritable march aux otages avec sans doute des remises
sils ne trouvent pas acheteur.
2. Au regard des produits :

A-t-on pris le soin didentifier les diverses sources de produits ou ceux
dont la marge est la plus leve ?
Ces produits sont-ils des localiss ou spcifiques au pays o se trouve la
filiale, ou relvent-ils des ventes globales du groupe ?
Constate-t-on une tunnellisation de la gestion commerciale, du stockage ainsi que de la trsorerie affrente ces produits ou sont-ils grs
normalement ?
Un directeur local est-il seul impliqu dans ces ventes ?
Ces produits sont-ils rellement en vente dans le pays concern ou sagitil dune pure opration papier ? Pourraient-ils tre revendus dans
dautres structures comme des contrefaons ?
3. Au regard des clients :
Qui sont les socits concernes ? Ont-elles une notorit qui dpasse le
pays ou la ville concerne ?
Le chiffre est-il ralis avec une ou plusieurs socits ou avec une multitude de socits qui se succdent tout au long de la priode ?
Comment est effectu le paiement ? Suivant des normes classiques ou
de manire atypique (paiement davance, pas de suivi des livraisons,
pas de rclamation en cas de problme, pas de contrle produit) ?
Quel est le rapport du chiffre daffaires du client avec celui de la filiale ?
4. Au regard des fournisseurs :
Constate-t-on une tunnellisation du couple fournisseur/client ?
Quelle est la nature des socits fournisseurs (date de cration, capitalisation, etc.) ?
Comment grent-elles leur facturation (laisser-aller ou trs suivi) ?
Groupe Eyrolles
Constate-t-on lapparition de fournisseurs spciaux (commissions, honoraires, tudes) concomitante avec le dveloppement du chiffre daffaires
dans la socit ?
POUR CONCLURE
Groupe Eyrolles
Ces quelques lignes constituent un guide qui ne correspond en aucun cas un code
de pratiques exclusives. Il doit permettre tout auditeur de se poser les questions
pertinentes au regard de la recherche des fraudes dans les conditions normales
dune gestion de filiales. Cest un simple outil dont la plus grande difficult
dapplication rside dans la capacit dadaptation de lauditeur aux normes et la
lgislation locale.
Chapitre 10
Laudit des fraudes

sur les systmes dinformation
PAR FRANOIS VIDAUX,
Consultant
informatique constitue un formidable support pour des oprations

frauduleuses et le phnomne ne fait que sacclrer avec lvolution
des techniques et linternationalisation des changes.
Au dpart, les non initis avaient une peur viscrale de linformatique, la
bote noire , et de la sorte, mme en cas de forte possibilit dextension de
marchs, notamment linternational, on hsitait, de peur dtre cyber
viol , ou bien encore on installait des verrous partout, bloquant ainsi la circulation de linformation. Les relations internationales ne faisaient pas
encore lobjet dattaques suffisamment fortes pour inquiter : ce ntait
quun piphnomne. Encore aujourdhui, il est noter que des entreprises
de taille importante ne souhaitent toujours pas souvrir lextrieur. Elles
continuent dchanger par des moyens classiques.
Linformatique ne reprsente quun moyen de commettre un dlit ou une
infraction : lhomme ninvente rien, il profite juste de portes ouvertes.
Les cibles sont aujourdhui les relations commerciales entre entits et particuliers, mais aussi les transferts de liquidits qui sacclrent. La mondialisation
des oprations facilite de plus en plus la tche des fraudeurs et complique de
ce fait celle des auditeurs, car les circuits deviennent trs complexes et la traabilit des oprations sen ressent.
Lespionnage conomique (ou ingnierie sociale en informatique) constitue
lun des volets de la fraude sur les systmes dinformation que nous aborderons plus loin. Celui-ci peut se traduire par des pertes de brevets, de marchs,
ou causer un srieux prjudice lentreprise par le biais de publicits mensongres ou fallacieuses ou encore dinformations manipules.
Groupe Eyrolles
Face un groupe de taille importante avec des moyens sophistiqus de communication, tout doit tre surveill. Le fraudeur peut sintroduire directement
dans lentit de nombreuses manires : via les postes de travail, les imprimantes en rseau, par dcouplage1.
Ce chapitre sorganise en deux parties. Dans un premier temps, il sagira de
mettre en vidence les enjeux, les objectifs et lunivers de la fraude sur les
systmes dinformation. Puis nous nous attarderons sur la dtection et la prvention de la fraude sur les systmes dinformation.
Aprs avoir prcis les enjeux et les objectifs de ce type de fraude, il sagira de
prciser son univers dans les systmes dinformation.
Les enjeux et les objectifs de la fraude

Il est ncessaire de mettre en vidence les facteurs de risque de fraude, et de
donner quelques lments de dfinition, avant dnoncer les enjeux et les
objectifs de ce type de fraude.
Les facteurs de risque

Le schma n 1 reprsente les difficults que lon peut rencontrer pour suivre
linformation. La refonte des processus et la sophistication des systmes constituent des facteurs de risques extrmement importants.
Certains lments appellent des prcisions.
La refonte de processus, la rduction des dlais de production
Lorsque linformatique nexistait pas, les processus restaient relativement stables et les entits dfinissaient des procdures et des modes opratoires correspondant ces processus avec des points de contrle interne classiques.
Ceux-ci taient relativement bien surveills, notamment lorsque lentit tait
importante.
Aujourdhui, les fusions, les absorptions, limplantation de nouvelles machines avec de nouvelles applications, de nouveaux logiciels ou progiciels, avec
1. Cble plac prs de lun des cbles rcuprant les informations, qui permet de les
retourner modifies dans le systme dinformation.
Groupe Eyrolles
Enjeux, objectifs et univers de laudit

sur les systmes dinformation
Laudit des fraudes sur les systmes dinformation 245
Mondialisation
des marchs
volutions
structurelles
Marchs volatils
Frontires floues
Aucune barrire
Acclration des
changements
Refonte des
processus
Concurrence
accrue
Acclration des
mouvements de fonds
internationaux
Sophistication des
systmes et
notamment
des rseaux
Rduction des
dlais
Dmatrialisation
des oprations
Schma n 1 - Les facteurs de risque de fraude sur les systmes dinformation
les ERP1, ainsi que la rduction des dlais souvent impose aux dirigeants ou
responsables de la matrise dactivit, font que lon supprime des points de
contrle interne (informatique), bien souvent basiques. Ces contrles intgrs aux applications sont appels contrles programms ou automatiss, ou
encore informatiss. On omet mme de procder des balances carres lors
de la sortie dtats (en comptabilit auxiliaire par exemple).
Groupe Eyrolles
Il nexiste pas dinventaire de contrles programms par applications, logiciels, progiciels et autres ERP et lorsque lon en parle, les interlocuteurs sont
parfois surpris. Et pourtant, on les listait bien lorsquil sagissait des contrles
internes classiques. Par ailleurs, les contrles, lorsquils existent, ne sont pas
documents dans les programmes et lauditeur est dans lobligation de les
rechercher un par un.
Sophistication des systmes
Les systmes sont de plus en plus sophistiqus : gros serveurs (ou mainframe)
interconnects, serveurs classiques, rseaux de toute nature ( jetons, en
1. Enterprise Resource Planning.
toile, Ethernet) connects les uns aux autres avec de multiples portes
dentre ou de sortie vers lextrieur, protocoles diffrents utiliss, firewalls
physiques et/ou logiques mal configurs, captures de trames non ralises et
surtout non analyses, etc.
Mme les trs grandes entreprises narrivent pas se protger suffisamment,
dans le cas dintrusions internes, mais aussi externes, ce qui fait le bonheur
des socits de conseils qui sont payes pour dtecter des failles.
Les tentatives dintrusion ralises par des socits spcialises sont effectues
depuis des laboratoires externes avec soin. Cependant, les entreprises rechignent procder aux mmes oprations en interne (sous prtexte de scurit), ce qui laisse des portes internes ouvertes (malveillance, fraudes,
collusion, etc.).
La bonne volont des responsables de systmes dinformation est vidente,
mais comment procder pour rpondre aux vux des auditeurs alors que les
concepteurs des applications (et leurs propritaires) nont pas dfini la piste
daudit ds la conception et tout au long des diffrentes phases de dveloppement jusqu la livraison et la mise en production, comme cela devrait tre
systmatiquement le cas ?
Acclration des mouvements de fonds
Les fonds sont dj ltranger (paradis fiscal ou autres pays sans vrai
contrle), lorsque lon saperoit de la fraude (mme lorsque celle-ci est
dcouverte trs tt) et les montants sont importants. Cest la rapidit dexcution qui est ici en cause. Les ordinateurs de plus en plus puissants permettent daller trs vite, mais la contrepartie en termes de risques savre de taille.
Simplification administrative et dmatrialisation des oprations
Bien sr quil convient dviter les tracasseries aux consommateurs et aux
utilisateurs, mais encore faut-il envisager les preuves matrielles de faon
totalement diffrentes. Les entres de donnes physiques doivent tre plus
que jamais vrifies avant leur saisie.
La dmatrialisation des oprations est encore plus dlicate, car tout individu
(ou presque) se base sur des rfrents physiques.Voici un exemple.
Groupe Eyrolles
Les donnes arrivent de lextrieur et elles sont traites par un systme et

renvoyes vers un autre. Peut-on dsormais suivre rellement notre chre
piste daudit ?
En pratique
La dmatrialisation des oprations sur les notes de frais peut entraner des
drives importantes. Un directeur gnral possdant une carte bancaire
avait lhabitude de se faire rembourser ses frais via lapplication (absence
de sparation de fonctions) et sa carte bancaire (en direct). Sans croisement des informations (opration carte bancaire en comptabilit et opration par le biais de lapplication note de frais), il est difficile de dtecter ce
type de fraude.
Groupe Eyrolles
lments de dfinitions
Par fraude, nous entendons toutes les irrgularits et tous les actes illgaux
commis avec lintention de tromper. Elles peuvent tre commises pour le
bnfice de lorganisation ou son dtriment, tant par les employs de
lorganisation que par des personnes extrieures (norme IIA 1 210-A2-1).
Cette dfinition est suffisamment large pour englober les relations internationales et permettre ainsi des poursuites largies. Elle peut sappliquer la
fraude sur les systmes dinformation, puisque les irrgularits pourraient
par exemple concerner la perte dintgrit dinformations ou impacter les
aspects confidentialit des transactions opres.
Existe-t-il une dfinition particulire et lgale de la fraude sur les systmes
dinformation ? En voici une approche implicite dans la loi dite Godfrain
(1988), laquelle a fait lobjet damnagements depuis. Selon celle-ci, il sagit
de lutilisation non autorise des ressources du systme dinformation,
conduisant un prjudice valuable de faon montaire pour la victime,
essentiellement par le dtournement de biens (fonds, services matriels ou
immatriels, informations) au profit du criminel.
Il convient de noter ici quil existe une vritable confusion entre matrise
dactivit informatique et matrise des systmes dinformation. En effet, la
premire ncessite des connaissances informatiques approfondies, alors que
la seconde est la porte des auditeurs internes non-informaticiens.
Ds lors, laudit des systmes dinformation ax sur la fraude sera plus simple
envisager que laudit informatique.
Laudit technique dune application (lorsquune fraude est envisage) ne peut
tre effectu que par un spcialiste, car dans bien des cas, il sera ncessaire de
connatre le langage utilis, ainsi que les techniques de dveloppement
employes.
Les enjeux
Les enjeux de laudit de la fraude sur les systmes dinformation sont multiples. Ce dernier permet de sassurer que lentreprise dispose dun systme
dinformation complet, protg de faon efficiente (sans trous ou possibilits
dintrusions facilites, etc.). Il veille ce que soit garantie une excellente
communication entre les systmes de faon viter toute rupture ou altration de la chane de communication.
Ainsi, la capacit de lentreprise supporter tout changement se trouve optimise. Sa crdibilit, lorsquelle est amene mener des oprations de
rachats (absorptions) ou de fusions, ou bien lorsquelle est, elle-mme,
reprise, est conforte. Le risque pnal pour lentreprise et pour ses dirigeants,
qui nont pas mis en place les protections indispensables, est vit. Sa survie
est assure aprs un dtournement de fonds : problmes lis aux montants
dtourns, mais galement la publicit ngative que cela peut engendrer.
Souvent, la tche la plus difficile accomplir est de convaincre les diffrents
responsables des diffrentes activits du risque de fraudes et surtout de les sensibiliser ce type de risques. Il convient galement dattirer lattention de sa
propre quipe daudit sur les risques de fraudes en partant de la cartographie
des risques. Les entreprises restent souvent frileuses et ne souhaitent encore ni
communiquer, ni incorporer dans leur plan daudit les aspects fraudes.
Les objectifs
Les objectifs de laudit de la fraude sur les systmes dinformation se distinguent trs peu des objectifs classiques daudit des systmes dinformation.
Cet audit consiste essentiellement valuer :
Groupe Eyrolles
Laudit classique dune application (entrant dans le cadre des systmes

dinformation, lorsquune fraude est envisage) est beaucoup plus simple
raliser : lapplication est place en environnement de tests (ou encore
dintgration) et lon procde comme pour un audit classique. On passe en
revue les entres de donnes errones : dates, montants, etc. On analyse galement tous les journaux issus des traitements mis de faon claire et lisible
par la direction des systmes dinformation (DSI : production, rseaux,
administration de la scurit, etc.). Cela nempche pas danalyser les liens
entre applications, logiciels ou progiciels, car cela savre indispensable pour
la recherche de la fraude (analyse de la piste daudit ou trail et des rgles du
jeu, sur lesquelles nous reviendrons plus loin).
les mesures de protection indispensables ;

le niveau de protection de lensemble du patrimoine de lentit et notamment la totalit du patrimoine informationnel ;
ladaptation de linformatique lvolution technologique en matrisant
les cots et les risques de fraudes (ou tout du moins en les prenant en
compte) ;
la protection des informations sensibles, notamment toutes celles qui vont
dboucher sur des sorties de fonds de toute nature ;
la conformit la rglementation en vigueur (piratage, CNIL1, etc.) ;
la matrise de lintgration des systmes avec les risques de fraudes
associes ;
la matrise du rseau unique et/ou des rseaux intgrs ;
la matrise des flux dentres externes, notamment en provenance dInternet, et dextranet.
Lauditeur devra imprativement appliquer une mthodologie en quatre
tapes mettant en vidence les risques encourus et surtout permettant
dobtenir des preuves formelles et opposables.
La premire phase permet de dterminer les principaux risques associs au
systme informationnel de lentit en matire de fraude, de blanchiment, de
corruption. Cette tape est ralise soit par un dpartement spcialis, soit
par lauditeur interne ou le responsable du contrle interne.
La deuxime phase, elle, dtermine les liens entre les applications (cartographies
applicatives) et les rgles du jeu qui sont associes. Au niveau international, cette
tape est dautant plus significative que plusieurs cartographies applicatives peuvent cohabiter et quil est difficile de suivre la piste daudit (trail).
Groupe Eyrolles
La troisime tape consiste analyser les ERC (enjeux, risques, cots). Quel
est lenjeu dune faille dans le systme ? Par exemple, lenjeu et le risque
financier peuvent tre minimes, alors que limpact en termes dimage est trs
fort. Le cot associ au risque peut tre lev et il conviendra de le prendre
en compte.
Enfin, la dernire tape analyse les lments DIC (disponibilit, intgrit et
confidentialit) des systmes dinformation concerns. Ainsi, une indisponibilit dun rseau ouvert pourra savrer catastrophique pour une entreprise
de vente internationale. De mme, lorsque lintgrit des donnes est com1. Cette commission est charge de veiller au respect des droits des personnes (informations personnelles).
Comme pour la fraude classique, il est donc indispensable de dterminer les

informations dont lauditeur doit disposer pour dtecter les flux informationnels suspects. Les lments suivants sont indispensables :
la cartographie des applications, logiciels et progiciels (avec les programmes et leur importance) ;
les rgles du jeu permettant de dterminer comment les flux de donnes
sont regroups et entrent en comptabilit financire ;
la cartographie des rseaux dtaills, qui permet de dterminer les types
de rseaux pouvant tre impacts et surtout de suivre les flux dinformations avec la dtermination des zones de fragilit ;
le plan du cblage, qui permet de se rendre compte si lensemble du
cblage est bien protg. ; les baies de coaxiaux (arrives et dpart des
cbles) doivent tre particulirement protges.
Lunivers de laudit de la fraude sur les systmes dinformation

Le schma ci-aprs montre la complexit de laudit de fraude sur les systmes
dinformation. En effet, cela peut concerner toutes les activits de lentreprise
et ses ramifications internationales.
La difficult majeure pour les auditeurs en systmes dinformation est de
conceptualiser lensemble des donnes que nous appelons lUnivers IT
(Information Technology), cest--dire dextraire les tables essentielles la
dmarche daudit depuis lunivers de lentit.
Dans la mesure o laudit na pas cette vision globale (mme simplifie), des
zones dombre subsisteront et limpact de laudit sera bien amoindri.
Lorsque la connaissance de cet environnement est de bonne qualit, limpact
de laudit sera confort et les risques seront automatiquement rduits. Les
diffrentes recommandations mises et prises en compte rendront difficiles
les intrusions ou les autres altrations du ou des systme(s) dinformation.
La fraude peut intervenir ds lentre de linformation et tout moment au
cours des oprations de traitements ou de sorties dinformations. Lauditeur
devra donc tre particulirement vigilant sur ces aspects.
Groupe Eyrolles
promise, les dcisions seront fausses, voire impossible prendre. Sagissant

de la confidentialit, la diffusion dinformations peut mettre en pril lexistence de lentreprise avant mme toute prise de dcision.
Transaction
Structure du
march
Rputation
Gouvernement
d'entreprise
Fournisseur
Partenaires
Schma n 2 - Lunivers de laudit de la fraude sur les systmes dinformation

Comptabilit
Rglementation
et Conformit
Gestion de
trsorerie
Couverture
Taux d'intrt
Taux de change
Financement
Fiscalit
Recouvrement
Cours des
matires premires
Reporting
Liquidits &
Crdit
March
Finance
Processus
Nouveau
Produit/Service
Marketing & Vente
Processus
support
Production &
Logistique
Actifs
physiques
Dettes
Fonds Propres
Rpartition
du Capital
Rseaux
Logiciels
Hardware
Systmes
Gestion du savoir
Information
Organisation
et Suivi
Actifs incorporels
Planification et
dveloppement
Oprations
Proprit
intellectuelle
Acquisitions
Juridique
Responsabilit
Ressources
humaines
Personnels
et culture
Contrat
Formation
Loi et
rglementation
Gestion de
l'information
Oprations
Autres
actifs corporels
Usine, Proprit
et Terrain
L'univers de l'audit de fraudes sur les SI
conomie
Gestion de l'activit
Gouvernement
Stratgie
Pays
Allocation
des ressources
Client
Concurrent
Dynamiques de
march
thique
Planning
stratgique
Actionnaire
Partenaire
commercial
Groupe Eyrolles
Fausses
donnes
Faux
programmes
Application 1
Flux de
donnes
en entre
Flux de
donnes
en sortie
Application 4
Schma n 3 - Les niveaux dintervention de la fraude sur les systmes dinformation
Les points daccroche ou danalyse essentiels pour lauditeur sont alors les
suivants :
les inventaires de toute nature (physiques, contrats informatiques,
conventions inter entits, comptes bancaires, etc.) ;
les oprations financires de toute nature et les ratios ou benchmarks
associs ;
les donnes (extractions a priori ou a posteriori) significatives pour lentreprise ou le groupe : par exemple, extraction des lments spcifiques la
corruption dans un fichier fournisseurs partir dun logiciel ddi,
cadeau(x) ristournes rabais , doublons ou triplons de montants,
rupture de squencement des chques mis ;
les donnes paramtres et les fichiers rfrence exemples de donnes
paramtres pour la paie : le plafond Scurit sociale, les diffrents taux de
prlvements ;
les incidents informatiques1 en production (lanalyse seffectue partir de
six questions que doit se poser lauditeur : pourquoi ? qui ? quand ? o ?
quoi ? comment ?) ;
1. Il sagit de tout vnement pouvant avoir un impact sur le bon droulement des processus informatiss, par exemple, une transaction naboutissant pas ou une application
ne pouvant plus tre utilise.
Groupe Eyrolles
Application 2
Systme d'information
Application 3
Fausses
donnes
les modifications dapplications et limplantation des nouvelles releases

(mises jour des applications) ;
les rseaux et des interconnexions (qui ncessitent des connaissances
informatiques approfondies) ;
les tableaux de bord et de reporting ;
les oprations effectues via lintranet, lextranet ou Internet (lanalyse des
protocoles Internet ncessite galement des connaissances informatiques
approfondies) ; lutilisation de logiciels de niveau daccs Internet de
type Websense permet dviter la connexion des sites dangereux ;
la messagerie en surveillant les entres (notamment les fichiers attachs) ;
les logs (journaux) issus des logiciels ou des progiciels de scurit ;
les matrices tridimensionnelles (tableaux reprenant les lments suivants :
utilisateurs concerns, services et tches effectues) des habilitations pour
dterminer si la sparation des pouvoirs/fonctions sexerce correctement
en matire informatique.
Dtection et prvention de la fraude

Nous distinguerons les fraudes informatiques classiques des cyberfraudes .
Les fraudes informatiques classiques

Il existe trois types de fraudes : manuelle (ou physique), organise (ou en
bande, et qui va concerner plus particulirement les entreprises implantes
internationalement) et informatise (qui peut bien entendu tre organise en
rseaux mafieux). Nous ne porterons notre attention que sur la fraude informatise.
Groupe Eyrolles
La fraude informatise
Celle-ci peut tre physique (dtournements de matriels informatiques, par
exemple), et le plus souvent logique1, cest--dire partir de programmes ou
de modifications de traitements en production (laudit est alors affaire de spcialistes). Linformation est dans ce cas modifie ds son entre dans le
1. Fraude sur les mots de passe utiliss frauduleusement, sur les entres dans le systme
dinformation, par intervention directe dans les traitements informatiques, piratage
partir du Web, etc.
Limpact sur les changes internationaux peut tre considrable. Une

mfiance quasi maladive sest installe depuis les derniers scandales financiers
qui ont dfray la chronique (Enron, Parmalat, etc.). Loutil informatique
devient une arme de destruction massive ou de transformation des donnes changes. Est-ce le bon interlocuteur ? Les e-mails reus proviennentils de la filiale dEurope de lEst ou dailleurs, aprs avoir t modifis ?
Linformation qui a transit via le Web na-t-elle pas t intercepte lors de
son passage aux tats-Unis ?
Le schma ci-aprs montre que la circulation de linformation est totalement
imprvisible sur la Toile et donc incontrlable.
La scurit des systmes dinformations cote de plus en plus cher et les barrires ne sont jamais infranchissables (firewalls4, serveurs vides ou miroirs5,
etc.). Nous en voulons pour preuve la multiplication des cabinets qui proposent de tester les scurits implantes dans les systmes dinformation (tentatives dintrusions) avec plus ou moins de succs.
Les donnes peuvent tre cryptes et une demande de ranon est alors exige
pour pouvoir les rcuprer, do lexistence de BCP (Business Continuity
Plans, i.e. des plans de continuit informatique et utilisateurs) qui prvoient
des sauvegardes de plus en plus frquentes et une imbrication des BCP entre
eux (Paris avec Londres ou New York).
Ainsi, le cot des mesures de protection peut savrer un frein aux changes
entre partenaires ou associs.
1. Cette technique sera dcrite plus loin.

2. Cette technique sera dcrite plus loin.
3. Les personnes en charge de la production informatique modifient des programmes ou
interviennent lors des traitements.
4. Littralement murs de feux . Il sagit dune protection par logiciel du poste de travail
pour en interdire laccs.
5. Ordinateurs ne comportant que la copie des lments indispensables pour un utilisateur externe : ils ne sont pas relis lordinateur principal.
Groupe Eyrolles
systme dinformations (elle peut tre physique, cest--dire papier : pice

justificative de toute nature falsifie, etc.), au cours de son transit (modifications de programmes, trojan1, bombes logiques2, etc.), et sa sortie (par le
biais de lexploitation3). Cette information de sortie peut constituer une
entre dans un nouveau rseau connect et le cycle recommence.
Schma n 4 - Limprvisibilit et lincontrlabilit de la circulation de linformation

sur le Web
Comment ragir ?
Doit-on revenir pour autant aux bonnes vieilles mthodes de
communication ? Le retour en arrire est aujourdhui impossible, compte
tenu des dcisions qui doivent tre prises presque instantanment parfois, car
le retard peut entraner la perte dun march.
Groupe Eyrolles
En pratique
La dmatrialisation a certes entran une recrudescence de la fraude (la
facture, les notes de frais), mais le support favori des fraudeurs aujourdhui
est Internet (le rseau des rseaux). Les pirates (en anglais : hackers ou
crackers) utiliseront des supports spcifiques, conus par eux ou mis leur
disposition sur des sites qui prolifrent sans problme (en toute illgalit,
car le droit local est le plus souvent impuissant) : logiciels de piratage ou
dattaque, logiciels permettant de retrouver des codes, des fichiers, de
dupliquer (sans vergogne).
Les menaces les plus courantes peuvent tre les suivantes :

copie et duplication de fichiers (confidentiels, sensibles, ou donnes
permettant dobtenir des fonds) distance (la technique sera explique
plus loin) ;
attaques de virus1, vers2, chevaux de Troie3, etc., qui peuvent dtruire,
dtriorer les fichiers, mais qui jouent aussi un rle despion et permettent un hacker de sintroduire dans une entreprise pour obtenir des informations spcifiques ;
modifications ou destructions de sites Internet4, suivant le type de protection dont on dispose) ;
dtournements et/ou modifications de virements (directement ou via la
technique du salami que nous voquerons p. 257) destination de pensionns, de bnficiaires de prestations de toutes sortes, etc. ;
fausses vraies commandes de matriels ou de logiciels (ou autres
consommables) via Internet avec de vrais faux numros de cartes bancaires
ou partir dinformations figurant sur une ou des cartes bancaires
drobes ;
dtournements ou coute de communications tlphoniques (intelligence conomique) ; branchement sur la ligne pour ne pas payer les
communications ;
copie pour ses propres besoins de fichiers ou dapplications appartenant
une entreprise ;
piratage de logiciels et revente sur des marchs parallles.
La dtection et lradication peuvent tre relativement simples dans le cas de
structures classiques (mono socits), mais devenir complexes pour des structures multiples socits, maisons mres et filiales, succursales, etc. Les
rseaux sont complexes, les systmes dexploitation communiquent trs mal
entre eux, et les logiciels ou progiciels de scurit sont quelquefois trs diffrents dun tablissement un autre.
1.
2.
3.
4.
Cette technique sera dcrite plus loin.

La modification ou la copie de sites Internet est relativement simple raliser pour un
spcialiste puisque les sources du site sont accessibles partir du navigateur. Il suffit
ensuite de donner au site copi le mme nom, mais avec un suffixe diffrent : par
exemple argonaute.fr devient argonaute.com.
Groupe Eyrolles
Certains groupes confient leur systme dinformation des SSII1, mais

nassurent pas la surveillance indispensable toute dlgation (clause dauditabilit2 absente). La plupart du temps, les tableaux de bord de scurit ne
sont pas tenus, les firewalls ne sont pas jour, les applications perdent leurs
contrles programms au hasard dune simplification administrative ou dune
refonte de processus.
Les auditeurs dtiennent un rle dlicat, car ils sont appels connatre les
diffrentes menaces pesant sur les systmes dinformation et ne disposent pas
de toutes les armes indispensables leur fonction, ne serait-ce quun simple
outil dextraction et danalyse de donnes.
Lauditeur doit rflchir la manire dont toute fraude peut se produire et

capitaliser sur les fraudes qui se sont dj produites (voir la fiche technique de
dtection de fraude ci-aprs).
Il doit donner un avis motiv avant la mise en place des applications sur les
contrles mis en place (contrles programms ou automatiques et planifis :
vrification des RIB par exemple, des cls3). Il doit tre linstigateur de la
politique de scurit sans en tre le matre duvre et en suivre les progrs.
Voici un exemple de Fiche Technique de Dtection de Fraudes sur la
technique dite du salami .
LA TECHNIQUE DITE DU SALAMI
Axe de
recherche
Domaine
Risque Risque
interne externe
Source dtecte
Informatique
Logiciels et
progiciels
Oui
Adjonction et/ou modification dun ou plusieurs

programmes
Impact : +++ ++ +
Groupe Eyrolles
DATE :
Non
Probabilit de survenance : +++ ++ + Niveau de risque : +++ ++ +
1. Socit de Services Informatiques

2. Clause prcisant que le fournisseur accepte, dans le cadre du contrat, toute mission
daudit sur pices ou sur pices et sur place.
3. La cl ou modulo est un algorithme qui permet de dterminer si le RIB est correct.
Une cl peut tre utilise dans dautres domaines, notamment le NIR ou numro
INSEE (matricule utilis par la Scurit sociale).
Descriptions/Faits :
Tout en maintenant le mme nombre doprations et le mme montant, la technique du
salami consiste porter son crdit, ou celui dun tiers complice, une partie de la
somme (exemple darrondis : allocations, paie, prestations, etc.).
Partie prenante interne au risque envisag :

Partie prenante externe au risque envisag :
Efficacit/Cot
Les diffrents moyens
=
Moyens de dtection classiques :

Non-respect des procdures de mise en production ou modification de
programmes
Analyse priodique par laudit des incidents scurit (cahier ou
enregistrement spcifique)
Totalisation de toutes les zones de virement ?
Listing de contrle des virements, reflet des oprations effectues
(sondage)
Liste dalerte (M/M-1) montants suprieurs un paramtre
+
+
+
+
Moyens de prvention classiques :

Sparation stricte des fonctions entre TUDES et EXPLOITATION
Traage de toute modification effectue sur les programmes
Procdure stricte de mise en production ou de modification des
programmes ; validation de chaque opration
Cryptage des donnes collaboration forte avec la banque (alerte si n
fois le mme virement au mme RIB ou montant anormalement lev)
Compression des donnes
Rgles strictes de contrle interne contrle interne performant
+
+
+
Moyens de dissuasion :
Publicit (sans dtail) sur les moyens de prvention mis en uvre

Contrle permanent des procdures et des risques (CPPR)
Communication interne sur la scurit au moyen du contrle interne
+
+
+
Les cyberfraudes
Les entreprises de taille moyenne sont encore beaucoup moins sujettes des
attaques par cyberfraude . Ladage pour vivre heureux, vivons cachs
est de mise. En effet, les groupes internationaux connus et surtout ceux dans
lesquels il existe des mines financires intressantes vont tre la cible des
Groupe Eyrolles
cyber pirates. La petite PME du coin de la rue nintresse pas le hacker, ou le

cyber fraudeur. Celui-ci recherche en effet un profit immdiat et va donc
jouer sur la rapidit des changes et sur leur fragilit un moment donn. Il
va donc sen prendre aux banques, aux tablissements financiers, aux compagnies dassurances et dautres grands groupes.
Cependant, tant donn lpret constate pour lappropriation de parts
de marchs ou de ressources nergtiques, le terrain de chasse du fraudeur
sest dplac. On sintresse dsormais aux brevets dposs, aux savoirfaire technologiques, et bien sr, encore une fois, les cyber pirates sont
lafft, car tout a un prix de vente. Lespionnage informatique nest pas un
vain mot.
Les cyberfraudes portent des noms barbares et suivent la mode de langlicisation de toutes les techniques portant atteinte aux systmes dinformation
pour des raisons ludiques, manichennes et financires.
Les diffrentes techniques dintrusion dbouchant sur des fraudes

On distingue diffrentes techniques, que nous allons dcrire ci-aprs : lutilisation du fichier core, le captage de moniteur ou de clavier, le dcouplage, le
sniffing, le phishing, le spoofing, le flooding, le TCP-SYN Flooding, le smurf, le
dbordement de tampon, les virus, les vers, les chevaux de Troie, les bombes
logiques, les hoax, les backdoors, lingnierie sociale, enfin les logiciels dattaque et de piratage.Toutefois, notez que cette liste est loin dtre exhaustive
Le fichier core
Les mots de passe sont stocks sur les postes de travail dans un fichier
dnomm core . Il suffit de rcuprer les mots de passe via un mini-programme qui transformera les donnes en clair.
Groupe Eyrolles
Le captage de moniteur ou de clavier

Cette opration ne peut tre effectue que par des professionnels du renseignement, mais il nest pas trs difficile de se procurer ltranger le matriel
adquat (botier avec capteur orientable). Le capteur est orient vers la
source dmission et, au fur et mesure, saffichent sur le terminal les informations apparaissant sur lcran capt et les donnes frappes sur le clavier capt
(on peut ainsi dtecter les mots de passe et autres informations circulantes).
La protection ncessite des moyens coteux (murs doubls, systme de
dtection, etc.).
Le sniffing1
Un logiciel dnomm sniffer se trouve la base de cette technique. Ce
logiciel est trs utile pour les administrateurs de rseaux (notamment pour
surveiller et dtecter les problmes). Les pirates (hackers, crackers, etc.) se servent de cet outil pour dtecter et rcuprer les mots de passe.
Lorsque la connexion seffectue sur un rseau, lensemble des donnes se
retrouve sur toutes les cartes rseau des postes de travail intelligents connects. Les trames que les diffrentes cartes reoivent sont interceptes (y compris celles qui ne concernent pas son propre poste de travail). Ds quun
utilisateur se connecte, son mot de passe est dtect, car il est juste cet instant en clair.
Pour se protger du sniffing, il convient de limiter la taille des sous-rseaux
internes (avec le wifi2, la protection est beaucoup plus difficile) et de les sparer par des switches3.
Le spoofing4
Le fraudeur ou le pirate se fait passer pour un autre ordinateur en trafiquant
(modifiant) son adresse IP5 (protocole Internet chiffres). Cette technique
1. Littralement : reniflement.
2. Wireless file : sans fil.
3. quipement rseau permettant linterconnexion dquipements informatiques en
rseau local optimisant la bande passante.
4. Traduction franaise : parodie, canular.
5. Tous les ordinateurs connects Internet ont une adresse compose de quatre nombres
spars par un point. Cette adresse est obligatoire pour accder un ordinateur/serveur et naviguer sur un rseau.
Groupe Eyrolles
Le dcouplage
Lorsque lon branche deux lignes lectriques cte cte sur une prise donne, un effet de dcouplage se produit. Les informations envoyes (sous
forme de diffrents rayons lectriques) par la premire ligne se rpercutent
sur la seconde (en parallle). Les deux lignes ne sont bien sr pas relies
physiquement. On peut donc enregistrer sur lune des deux lignes les informations qui circulent sur lautre. Linformation peut alors tre pirate. Pour
se protger, il est indispensable de tenir jour un inventaire exhaustif du
cblage et dutiliser des cbles de bonne qualit (blindage, fibre optique, etc.).
Une conomie sur cet aspect peut savrer catastrophique.
est assez complique et il convient pour la comprendre de connatre le protocole TCP1.

Le pirate choisit le serveur attaquer et essaie dobtenir le maximum de
dtails sur celui-ci : ordinateurs autoriss se connecter, ceux ayant des
droits importants. Il convient de ne jamais laisser traner des schmas de la
configuration informatique qui constituent une aide prcieuse pour les hackers. Cette partie est logique. Si aucun ordinateur nest autoris se connecter en racine, lattaque cesse.
En rgle gnrale, le pirate laisse une backdoor2 avant de se retirer pour pouvoir se reconnecter tout moment. Cette backdoor lui permettra de revenir
plus tard sans problme.
Le hacker vise rcuprer les donnes pour deviner les numros de squencement. Le but est douvrir la connexion.
Le flooding
On envoie un serveur dtermin une multitude paquets IP (voir
rfrence 21 plus bas) de trs grosse taille. Le serveur cible ne peut pas
tous les traiter et finit par se dconnecter du rseau.
Ici, une excellente communication (ping) entre lordinateur pirate et le serveur est ncessaire : les donnes sont envoyes plus vite que la vitesse
laquelle le serveur peut rpondre.
Le TCP-SYN Flooding
Il sagit dune variante du flooding qui sappuie galement sur le protocole
TCP. On envoie un serveur (SYN) dtermin un grand nombre de
connexions partir de plusieurs machines ou encore dun seul ordinateur
qui falsifie son adresse IP (utilisation de la technique dite du spoofing).
Groupe Eyrolles
Le serveur envoie un trs grand nombre de paquets SYN-ACK et attend en

rponse ACK, qui ne viendra jamais, bien entendu.
1. TCP/IP : ensemble de rgles permettant des ordinateurs de communiquer entre

eux. Le protocole de contrle de transmission (TCP) et le protocole Internet (IP) permettent la communication entre ordinateurs.
2. Port laiss ouvert sur un ordinateur servant de porte dentre un pirate (cette technique sera dcrite plus loin).
Les virus et les vers

Le nombre de virus et leur varit tonnent, mais ils sont lis la capacit
dinvention de leurs crateurs. On en compte presque 100 000 aujourdhui
et il sen ajoute chaque jour. Il sagit dun programme cach dans un autre et
qui sexcute et se reproduit en polluant dautres programmes ou dautres
ordinateurs.
Les problmes poss vont du plus simple multiplication des fichiers, modification de la date du systme, message hilarant au plus grave reformatage
du disque dur sans pouvoir arrter lopration. On les classe suivant leur
mode de multiplication ou de reproduction.
Le ver (variante du virus) dsigne pour sa part un programme qui se reproduit et se dplace sur le rseau sans aucune intervention. Actuellement, les
vers se dveloppent surtout via la messagerie. Ils reprent les diffrents contacts dune personne et leur envoient le mini-programme sous forme de
pice jointe. Il faut donc ouvrir cette dernire pour tre pollu.
Il est assez difficile de se protger ou dradiquer les vers. Il vaut donc mieux
ne pas ouvrir les fichiers joints sans rflchir. On peut ainsi analyser les
extensions. En effet, les suffixes .txt, .jpg, .gif, .bmp ou .avi ne peuvent pas
contenir de virus ou de vers : on ne les excute pas, on se contente de les
ouvrir. En revanche, les fichiers avec les suffixes .exe, .com, .bat, .vbs ou .pif
peuvent contenir des vers ou des virus. Les fichiers contenant des macros VB
(Word, Excel, PPT, etc.), eux, sont facilement transformables et infects,
mais on les considre souvent comme inoffensifs, ce qui est une erreur (sauf
si on a dsactiv les macros dans les programmes correspondants).
Groupe Eyrolles
Le dbordement de tampon
Cette technique est base sur les failles du protocole IP. Le pirate envoie
lordinateur ou au serveur cible des donnes dune taille trs suprieure la
capacit dun paquet. Le paquet est alors fractionn pour lenvoi et assembl
par lordinateur ou le serveur cible. Ainsi, il y aura dbordement des variables
internes. Lordinateur peut ainsi se bloquer, redmarrer ou encore crire du
code en mmoire. On peut donc modifier directement le code des programmes de la machine.
Le cheval de Troie1
Il sagit de programmes engendrant des failles dans les systmes et permettant
lentre des fraudeurs. Lexpression cheval de Troie est emprunte la
Grce antique.
Lors de lcriture ou de la modification dun programme, on introduit des
instructions non apparentes, et accessibles aux seuls initis laide dun fait
dclencheur (code, date, arrt systme). Ces instructions peuvent avoir pour
effet le dclenchement de virements non autoriss, de destructions ou de
modifications frauduleuses de donnes et/ou de programmes.
La dtection est une opration trs proche de celle de la dtection des virus.
Dailleurs, la plupart des antivirus assurent galement la dtection des chevaux de Troie. En somme, lennemi est dans la place. Il peut en profiter,
notamment pour frauder.
Il convient ici de procder une analyse dtaille des ports ( port scan ).
Pour transmettre les donnes, ces espions doivent utiliser une connexion
rseau quelconque. Le port scan recherche les donnes dfectueuses sur
une connexion et dtecte ainsi une activit cheval de Troie. Le cheval de
Troie laisse galement une trace dans la base de registre du systme dexploitation. Lorsque lon connat le nom, il suffit daller dans Dmarrer, Excuter et Rechercher le nom , puis on le dtruit. Mais, attention ! La base de
registres est assez dlicate manipuler et on peut perdre des informations
sensibles et capitales. Les chevaux de Troie doivent tre limins ds leur
dcouverte.
Les bombes logiques
Groupe Eyrolles
Il sagit de dispositifs programms, dont le dclenchement seffectue un

moment dtermin en exploitant la date et lheure systme (le plus souvent),
une commande quelconque ou encore un appel systme. Elles sont pratiquement invisibles tant que la condition nest pas respecte. Il existe par
exemple une bombe appele de diverses manires et qui peut aller jusqu
formater le disque une date dtermine.
Laction de la bombe logique est trs varie : utilisation intempestive des ressources, destruction de tables et de fichiers, cration de failles systmes, utilisation anormale de la machine pour permettre le spoofing, rcupration des
numros de licences, numros de srie, etc. Lvnement dclencheur peut
1. En anglais :Trojan.
Les hoax
Ce sont des canulars ou des messages transmettre en srie envoys par messagerie. En principe, ils ne sont pas nuisibles pour lordinateur. En revanche,
ils saturent les rseaux compte tenu de leur propagation massive. Ils surchargent galement les botes aux lettres et propagent la dsinformation ou constituent des supports intressants pour les sectes de toutes sortes. Ils peuvent
galement servir de base un virus, un ver ou des chevaux de Troie ou
une chane de messages. Ils demandent quon les envoie toutes les personnes connues et celle qui les reoit peut tre menac de mille foudres en cas de
non-rediffusion.
Avant de faire suivre un tel message, il convient, bien entendu, de sassurer de
son authenticit. Il importe donc de rechercher sur Internet les petits utilitaires permettant de sen dbarrasser. Ils sont fort nombreux.
Les backdoors
Il sagit de portes dentre laisses par les hackers, crackers et autres pirates
qui leur permettent de reprendre facilement le contrle dun ordinateur.
Deux possibilits se prsentent : une seule backdoor bien cache ou un
grand nombre, dans lespoir que lune au moins dentre elles ne sera pas
dtecte. Certaines backdoors ajoutent tout simplement un nouveau
compte au serveur avec le mot de passe choisi par le pirate.
Dautres backdoors modifient le firewall pour quil accepte une adresse IP
dfinie (une que le pirate pourra spoofer facilement). On perd ainsi le
contrle total de son ordinateur ou du serveur. Le pirate peut alors rcuprer les donnes quil souhaite, voler des mots de passe ou mme dtruire
ou modifier des donnes son profit.
Les backdoors sont assez difficiles dtecter. Il convient de surveiller les ports
ouverts et de se proccuper de tout comportement inhabituel de lordinateur
(lenteur dexcution ou au dmarrage, etc.). vitez de tlcharger nimporte
quel programme, car il peut contenir une backdoor voulue ou non par le concepteur/crateur du (ou des) programme(s).
Groupe Eyrolles
savrer trs divers : dlai de x jours ou dheures aprs linstallation, date spcifique, disparition dun compte, inactivit de lordinateur. Une bombe peut
ainsi tre cache dans un conomiseur dcran et ne se lancer quaprs un
temps de veille. La dtection et lradication seffectuent galement partir
dun antivirus qui intgre les diffrents aspects.
Lingnierie sociale
Cette technique est utilise pour se faire passer pour quelquun dautre (en
gnral un des administrateurs du serveur que lon veut pirater) et demander
lordinateur des informations personnelles (logins, mots de passe, accs,
numros, tlphones, donnes, etc.) en inventant un quelconque motif
( plantage du rseau, modification de celui-ci). Elle se fait soit au
moyen dune simple communication tlphonique, soit par message. Lingnierie sociale (social engineering) ne constitue pas une attaque informatique,
mais plutt une mthode pour obtenir des informations sur un systme ou
des mots de passe. Cette attaque peut tre utilise en matire dintelligence
conomique, despionnage technique ou financier.
Pour viter lingnierie sociale, il ne faut pas communiquer de donnes personnelles des personnes dont on nest pas sr de lidentit (une adresse
e-mail nest pas un moyen fiable didentifier une personne). De plus, un
administrateur na pas demander un mot de passe ou un login, le premier
tant priv et le second dj connu de celui-ci. Enfin, il convient de ne
jamais communiquer de donnes importantes par e-mail.
Il est enfin conseill de crypter les donnes transmises par messagerie au
moyen dun logiciel de type AX CRYPT, LAN CRYPT, SECURITY
BOX1, etc.
Les logiciels dattaque et de piratage
Il suffit de se connecter Internet et daller sur les moteurs de recherche
comme Google, Yahoo! ou Altavista pour trouver ce type de programme.
Attention ! Les connexions certains sites laissent des traces sur lordinateur
et laissent la porte ouverte des intrusions de toutes sortes, sans compter les
publicits douteuses.
Les fraudes via les cartes bancaires
Groupe Eyrolles
Ce type de fraude peut revtir de nombreuses variantes. Nous nanalyserons

que les aspects informatiques ou ayant des consquences sur le systme
dinformation. Le tableau ci-aprs rcapitule les diffrentes techniques.
1. Logiciels de cryptage (les donnes de toute nature sont cryptes) : certains retirent les
caractristiques du fichier. Le type de programme utilis pour lancer le fichier ne peut
pas tre dtermin. Exemple : .doc devient 1H2C42.
Tableau n 1 - Les diffrentes fraudes via les cartes bancaires

Techniques
Explicitations
Faux clavier, fausse faade de distributeur Mise en place de fausses faades de lecautomatique de billets (DAB), faux distributeurs. Cette technique est connue sous le
nom de collet marseillais . Elle sest
teur
tendue par la suite aux autres rgions,
ainsi quaux pays voisins. Des systmes de
protection physiques et discrets sont proposs par des entreprises spcialises.
Fabrication de fausses vraies cartes

puce
partir de numro seize chiffres et code

confidentiel quatre chiffres.
Clonage de cartes puce

Duplication de la propre carte puce de
lutilisateur
Greffe dune autre puce sur une carte bancaire existante ou sur une fausse carte
bancaire.
Yescard mthode dite Humpich
La technique dite Humpich est base sur

une inversion des algorithmes de cryptage.
partir de cela, il est possible de fabriquer
des cartes en les programmant.
Mthode dite de luf dur
Elle consiste prendre une carte puce

dont on ne connat pas le code confidentiel
et limmerger brutalement dans de leau
bouillante. Nimporte quel code serait lu
par la carte. Mais cela ne fonctionnerait
pas en permanence et parat un peu
curieux et hasardeux.
Timing attack
Cette attaque a pour but de limiter le

domaine des cls explorervia une cryptanalyse classique. Elle est assise sur un
principe simple : connatre le temps ncessaire pour effectuer des chiffrements ou
des dchiffrements (lalgorithme utilis est
connu). Elle peut permettre de cibler plus
facilement la longueur de la cl utilise et
ainsi gagner des facteurs supplmentaires
lors de lattaque.
Simulacre de carte puce avec un numro

de porteur existant (consentant ou non)
Groupe Eyrolles
Interception des codes bancaires (secrets)

au niveau des nuds interbancaires
Techniques
Explicitations
Simulacre de carte puce avec numro

dutilisateur inexistant (Yescard mthode
Humpich)
Vol de carte dclar immdiatement aprs Autovol
un achat en ligne
Code devin ou trouv
Via des logiciels spcifiques o partir de

programmes crits par un pirate.
Interception des communications DAB
Captage de moniteur ou de clavier (interceptions lectromagntiques).
Simulacre de carte puce avec numro de

Interception dchanges dinformations
porteur existant, mais non-consentant.
bancaires : numro de carte, codes (peu
souvent via des informations figurant sur
les fax, messages Internet, entretiens tlphoniques, courriers, etc.)
Transcodage des informations de la puce
vers une piste magntique (grce linterception du code confidentiel) depuis un terminal de commerant via le site Web ou
lintrieur de lentit.
Virus, vers, ou autres chevaux de Troie permettant de passer des transactions supplmentaires au profit du hacker.
Toutes ces techniques nont quun but : soutirer de largent une personne
physique, une entit ou un groupe dentits.
Le rle des auditeurs dans le domaine de la cyberfraude est relativement
complexe, car la prvention ncessite des connaissances approfondies en
informatique quil convient de mettre jour en permanence. Cependant,
lauditeur doit imprativement se tenir inform des nouveauts dans le
domaine afin de prvenir sa direction des dangers encourus.
Groupe Eyrolles
Il sera possible alors de faire appel des spcialistes, ou mieux encore dans les
grandes structures internationales de former des auditeurs ce type daudit
complexe.
POUR CONCLURE
Se protger de la fraude sur les systmes dinformations relve du parcours du
combattant. titre dexemple simple, la fraude peut intervenir via un virus, un ver, un
cheval de Troie et une bombe logique. Pour se protger de ceux-ci, un seul antivirus
ne suffit pas. En effet, dans de nombreux cas, les intrus ne sont pas dtects.
Bien entendu, il convient de disposer dantivirus coupls des pare-feux de qualit

(firewalls), qui doivent tre physiques et logiques.
Lintranet doit tre galement protg, tout comme et a fortiori les changes avec les
fournisseurs, les clients, les instances de tutelle ou autres (extranet).
Il convient dorganiser des niveaux daccs Internet et galement de ne pas laisser
de portes ouvertes (ports dentre surveiller).
La scurit logique1 doit donc tre envisage avec srieux, de mme que la scurit
physique. Il est important de se doter dun comit de scurit et dun ou plusieurs
responsable(s) de la scurit des systmes dinformation.
1. Elle concerne notamment les accs aux ordinateurs par code utilisateur et profil associ
(droits) et mots de passe, les aspects scurit des traitements en production, etc.
Groupe Eyrolles
La protection doit senvisager ds la conception des applications lorsquelles sont

uniquement destines un usage interne (via un intranet ou les rseaux classiques),
mais a fortiori lorsquelles vont avoir une connectivit avec lextrieur (Internet,
Extranet). Ceci concerne encore plus les entreprises de taille internationale.
Chapitre 11
Audit social : fondements,

mthodologie
et volutions stratgiques
PAR JULIE TIXIER,

de Tours
objectif de ce chapitre est la fois de dfinir laudit social et ses enjeux

et de contextualiser ces lments dans lenvironnement actuel des multinationales. Dans ce cadre, nous dfinissons dans un premier temps les composantes de laudit social, pour en dtailler les rles et pour en prciser la
mthodologie. Dans un second temps, nous analysons les problmatiques de
laudit social dans un contexte international, pour en spcifier les enjeux au
sein de multinationales et les liens avec le concept de responsabilit sociale de
lentreprise.
Laudit social : fondements, rles et composantes

Avant de prciser les diffrents types daudits sociaux ainsi que leurs rles et
finalits au sein des entreprises et plus spcifiquement des multinationales,
nous allons dfinir le concept daudit social et revenir brivement sur son
origine.
Groupe Eyrolles
Laudit social : quelle utilit pour lentreprise ?

Laudit social peut se dfinir dans un premier temps comme une dclinaison
sociale de laudit oprationnel. Il constitue ltude des lments sociaux de
lentreprise.
Dfinitions de laudit social
Cette notion de parties prenantes est mise en exergue par dautres auteurs
lorsquils dfinissent laudit social. Ainsi, Combemale et Igalens (2005) analysent le concept daudit social, en spcifiant quil sagit dune forme dobservation qui tend vrifier quune organisation a effectivement ralis ce quelle dit avoir fait,
quelle utilise au mieux ses moyens, quelle conserve son autonomie et son patrimoine,
quelle est capable de raliser ce quelle dit vouloir faire, quelle respecte les rgles de lart et
sait valuer les risques quelle court.
Les auteurs insistent sur plusieurs lments de la dfinition. Tout dabord, ils
soulignent le caractre inductif de laudit social qui part des faits et de la ralit sociale de lorganisation lorsquils voquent la forme dobservation .
Ils prcisent galement la difficult de recueil des donnes sociales au sein des
entreprises o le primtre de laudit social diffre des primtres usuels de
recueil des donnes sociales et des indicateurs utiliss par les entreprises.
Cette difficult est exacerbe au niveau international car les indicateurs
(lgaux notamment) divergent rgulirement dun pays lautre. Ensuite, les
auteurs prcisent les origines de laudit social et de ses liens forts avec la
notion de prservation et de contrle du patrimoine. Ils spcifient galement
que ce capital peut tre aussi bien financier que social. La richesse dune
entreprise se situe la fois dans ses ressources financires (laudit social contrle donc lusage ralis de ces ressources alloues notamment aux salaires et
autres formes de rtribution) et aussi dans ses ressources humaines (lanalyse
de la GPEC, i.e. la gestion prvisionnelle des emplois et des comptences).
Enfin, les autres lments de la dfinition reprennent les impratifs classiques
des missions daudit, puisquil sagit dvaluation des moyens et des objectifs,
de mise en conformit avec les rgles et dvaluation des risques. Nous
reviendrons sur les risques spcifiques de laudit social.
1. www.audit-social.eu
Groupe Eyrolles
Comme le dfinit Jean-Marie Peretti sur le site Internet de lInstitut dAudit

Social (IAS)1, laudit social regroupe les formes daudit appliques la gestion et au
mode de fonctionnement des personnes dans les organisations qui les emploient ainsi
quau jeu de leurs relations internes et externes . Cela signifie que laudit social a
pour primtre lensemble de lentreprise et de ses relations la fois en interne
(relations des salaris entre eux, relations hirarchiques, etc.) et en externe
(relations de lentreprise avec les diffrentes parties prenantes identifies telles
que les actionnaires, ltat, les fournisseurs, etc.).
Audit social : fondements, mthodologie et volutions stratgiques 271
Diffrences entre laudit social et laudit de la fonction RH

Avant de poursuivre sur les origines de laudit social, arrtons-nous sur les
diffrences de primtres et dobjectifs entre ce dernier et laudit de la fonction ressources humaines.
Daprs les dfinitions prcdentes, le primtre de laudit social stend

lensemble des relations de lentreprise. Lobjectif de laudit social est de
sassurer de la conformit des donnes sociales, de leur efficacit et de la pertinence de leurs liens avec la stratgie de lentreprise. En revanche, laudit de
la fonction ressources humaines a pour primtre uniquement la fonction
ressources humaines et sintresse essentiellement au fonctionnement du service. Lobjectif de laudit oprationnel de la fonction ressources humaines
rside dans lanalyse et loptimisation de ce service. Il sagit dun audit de
fonction, comme ceux des fonctions logistique, finance et comptabilit.
Les origines de laudit social

Dans les annes 1950 se sont dveloppes des missions daudit spcialises
(par fonction : audit de la fonction achats, de la fonction marketing, etc.) et
laudit social reprsentait alors un dveloppement transversal des audits oprationnels. Les missions daudit social au sein des entreprises franaises se sont
dautant plus dveloppes la fin des annes 1970 quest survenue en 1977
une obligation de publication de bilan social pour les entreprises de plus de
trois cents salaris.
Groupe Eyrolles
Le bilan social constitue une obligation pour toute entreprise en France de

plus de trois cents salaris de prsenter un certain nombre de donnes sociales (que nous prcisons par la suite). Cependant, lorsque les entreprises ne
prsentent pas ces donnes, ces organisations ne sont pas sanctionnes.
Labsence de sanction amenuise considrablement la porte de cette obligation. Par consquent, certaines entreprises font le choix de prsenter les donnes sociales alors que dautres ne considrent pas cette obligation comme un
impratif de gestion.
Revenons rapidement sur la notion de bilan social afin de la dfinir et de la
diffrencier clairement de laudit social. Lobjectif du bilan social est d tablir
un bilan social annuel au niveau de chaque entreprise, partir dindicateurs reprsentatifs de la situation sociale et des conditions de travail (Sudreau, 1976, cit par
Danziger, 1997).
Notons une volution rcente, mais importante dans le comportement des
entreprises vis--vis des donnes sociales. Le dveloppement de la notion de
En pratique
Le bilan social est divis en sept chapitres :
lemploi (notamment avec la ventilation des effectifs) ;
les conditions dhygine et de scurit (accident du travail) ;
les rmunrations et les charges accessoires (ainsi que dautres modes
de rtribution) ;
les autres conditions de travail (avec notamment lorganisation du temps
de travail),
les relations professionnelles (et notamment le mode de fonctionnement

du comit dentreprise) ;
les autres conditions de vie relevant de lentreprise (uvres sociales, etc.).
Au final, il sagit denviron 80 170 informations que les organisations
doivent fournir chaque anne. Le choix du nombre et des indicateurs prcis
est laiss la discrtion des entreprises qui les adaptent leur activit,
leur taille, leur histoire, etc. Le fait de ne pas normaliser les indicateurs
constitue galement une limite cet outil, qui rend difficile les comparaisons inter-entreprises.
responsabilit sociale de lentreprise (RSE) et la notation par des cabinets

externes des lments sociaux et socitaux des organisations amnent ces dernires analyser et communiquer de plus en plus de donnes sociales et
socitales. En ce qui concerne les donnes sociales, elles reprennent en grande
partie les lments des sept chapitres du bilan social. Pour les donnes socitales, les cabinets de notation sociale (Vigeo par exemple) dfinissent des indicateurs de comportement de lentreprise vis--vis de la socit et de son
environnement (protection de lenvironnement, mcnat, conditions de travail
au sein de lentreprise et chez ses fournisseurs, etc.). La pression de ces institutions a pouss les entreprises (cotes notamment) modifier leurs communications dans un premier temps et leur comportement dans un second temps.
Laudit social sinscrit dans cette tendance puisquil analyse le comportement
social de lentreprise. Il devient aujourdhui un outil cl des grandes entreprises
(multinationales et socits cotes) qui lutilisent pour sassurer de la prennit des actions mises en uvre dans le cadre dune politique de RSE.
Groupe Eyrolles
la formation (par rapport la masse salariale, ce qui correspond aux

impratifs lgaux franais) ;
Dfinitions des principales notions

Laudit social a donc notamment pour objectif de mesurer les performances
sociale et socitale de lorganisation, de raliser une analyse sociale et daboutir une planification sociale.
Nous dfinissons la performance sociale comme la mesure de lefficacit de

la politique mene lgard du personnel (dtection des problmes sociaux,
prdiction de leur volution et dtermination du cot dopportunit dune
rponse), alors que la performance socitale reprsente la mesure de lefficacit de la politique de lentreprise lgard de son environnement (via toutes
les parties prenantes). Dautres critres de performance sont donc pris en
considration. Lanalyse sociale reprsente ltape de diagnostic qui va permettre lvaluation de la performance sociale et lanalyse de lcart entre les
objectifs et la performance ralise. Il sagit par consquent dune tape stratgique de laudit social. Enfin, la planification sociale est ainsi dfinie par
Couret et Igalens (1988) : Le processus de pilotage de la fonction sociale []
donne lentreprise le moyen dobtenir quantitativement et qualitativement les ressources humaines ncessaires la ralisation de ses objectifs. Cest donc l un instrument de mise en cohrence des ressources en fonction des objectifs.
Contenu
Moyens
Un constat
Diagnostic social
Des orientations
Stratgie sociale
Des objectifs
Plan social
Des moyens
Budget social
Des rsultats
Bilan social
Des carts
Tableau de bord social
Des corrections
Audit social
Groupe Eyrolles
Source : Couret et Igalens (1988).

Schma n 1 - Les sept phases de la planification sociale
Sans dtailler les sept tapes de la planification sociale, laudit social, dans le
cadre de la planification sociale, a pour objectif d aider tous les centres de dci-
sions de lentreprise en leur fournissant des analyses objectives, des apprciations, des
recommandations et des commentaires utiles (Couret et Igalens, 1988). La mission de laudit social prend la forme de lanalyse sociale suivie de proposition
dactions correctives dans le cas dcarts entre les objectifs et les rsultats
effectifs de lentreprise. Lauditeur social se doit galement de faire ressortir
les risques encourus et de les valuer.
Risques valus par laudit social
Le premier est le risque de non-respect des textes. Il se situe au cur de

laudit de conformit qui cherche sassurer du respect des lois, des rgles et
des textes affrant lentreprise audite.
Le deuxime est le risque dinadaptation des politiques sociales aux attentes
du personnel. Il sagit du risque de dtrioration du climat social du fait dun
dcalage entre les mesures constitues pour les salaris et les attentes de ces
derniers.
Le troisime risque rside dans linadquation des besoins aux ressources
humaines, cest--dire que les besoins de lentreprise sont en dcalage par
rapport aux ressources humaines disponibles. La GPEC, que nous avons
voque prcdemment, constitue un outil danticipation de ce type de
risque.
Enfin, le quatrime risque identifi reprsente celui denvahissement des
proccupations sociales par lentreprise. Lorsque les carts entre les
besoins et les ressources sont trop levs ou encore lorsque la politique de
gestion des ressources humaines se trouve particulirement inadapte,
alors lentreprise risque de se perdre dans des conflits sociaux. Ces conflits
peuvent tre soit ouverts (sous la forme de grves notamment), soit larvs.
Ces derniers sont plus difficiles percevoir par lauditeur, mais nen sont
pas moins importants, dautant plus quils peuvent mettre lentreprise en
pril. Ils prennent le plus souvent la forme dun absentisme accru, de la
multiplication des arrts maladie, des accidents du travail plus frquents et
dun turnover lev.
Ces quatre types de risques sont analyss lors des audits sociaux. Il existe
essentiellement trois catgories daudit social dont les objectifs divergent en
fonction de leur finalit.
Groupe Eyrolles
Nous nous appuyons sur Igalens (2000) pour prciser les quatre types de risques possibles valuer et anticiper dans le cadre dun audit social.
En pratique
Ces cinq indicateurs (nombre de jours de grves, taux dabsentisme,
nombre daccidents du travail, nombre de jours darrts maladie, turnover)
reprsentent des signaux dalerte cls pour lauditeur social. Ce sont les
premiers lments sociaux quil se doit danalyser afin de jauger le risque
social de lorganisation auditer.
Laudit social de conformit, defficacit et stratgique :

trois outils pour lentreprise
Laudit de conformit : le socle de laudit social
Lobjectif de lauditeur social lors dun audit de conformit est de rechercher
les traces de non-respect des obligations sociales pesant sur lentreprise.
Il sagit en fait dun audit juridique appliqu au droit social. Lauditeur se doit
de prendre connaissance des obligations sociales de lentreprise telles que les
obligations administratives (registre du personnel, bilan social, rglement
intrieur, les affichages obligatoires et conventions collectives, etc.). Il doit
galement sassurer du respect des droits collectifs des salaris au sein de
lentreprise (droit dexpression des salaris, ngociation collective, droit la
participation, etc.). Dans ce cadre, il rencontre la fois la direction de lentreprise, mais aussi les membres du comit dentreprise, les dlgus du personnel et les reprsentants des syndicats prsents.
La deuxime mission de lauditeur social rside dans lanalyse du statut juridique des hommes dans lentreprise. Il examine donc les contrats de travail,
les mandats ainsi que les modalits dexcution du contrat.
Groupe Eyrolles
Enfin lauditeur social sassure du respect des obligations de lentreprise dites

assorties dune chance. Il sagit la fois dobligations financires (cotisations sociales, Scurit sociale, etc.) et dobligations dinformation (notamment pour les structures de plus de cinquante salaris qui se doivent de
communiquer auprs du comit dentreprise).
La mthodologie de laudit social de conformit se dcline en trois temps
de la manire suivante. Dabord, lauditeur rdige un guide daudit (une
check-list des lments vrifier et/ou un questionnaire). Puis il chantillonne les documents vrifier. En effet, ne pouvant analyser tous les
contrats de travail, fiches de paie, etc., lauditeur slectionne certains

documents au hasard en fonction de caractristiques prdtermines.
Enfin, il identifie les risques de sanctions en cas dcart ou de non-respect
des textes par lentreprise.
La responsabilit de lauditeur repose sur une obligation de moyens essentiellement. Si le rle de lauditeur social de conformit est proche de celui du
commissaire aux comptes, toutefois, la responsabilit juridique (et notamment pnale) de lauditeur social est moindre.
Le deuxime type daudit social est celui defficacit. Il intervient le plus

souvent la suite dun audit de conformit. Ce dernier correspond en fait
la base de laudit social.
Lors dun audit defficacit, lauditeur cherche rpondre deux questions :
les rsultats obtenus sont-ils conformes aux objectifs fixs ?
et les rsultats ont-ils t obtenus au moindre cot ?
Lobjectif de laudit defficacit est donc dvaluer lefficacit de type cot/
avantage de la gestion du personnel de lentreprise. Il existe trois niveaux
dapplication de laudit social defficacit.
Le premier niveau
Il repose sur lanalyse des rsultats par rapport aux objectifs de lentreprise.
Lauditeur mesure en fonction des lments prexistants les objectifs de la
structure et leur ralisation. Le dispositif prexistant sappuie le plus souvent
sur les tableaux de bord sociaux, le dveloppement dun contrle de gestion
social et le bilan social. Lauditeur value alors les critres de qualit des indicateurs utiliss par lentreprise. Les principaux critres de qualit sont :
la fidlit de lindicateur ;
sa validit ;
sa sensibilit ;
sa stabilit ;
sa comparabilit.
Lauditeur effectue ici un contrle trois niveaux. Le premier consiste
contrler la cohrence des procdures avec les choix de lentreprise. titre
dexemple, si lentreprise veut sinternationaliser, lauditeur peut vrifier que
Groupe Eyrolles
Laudit defficacit : lanalyse des rsultats
la procdure de recrutement comporte bien un test de langue et que langlais

courant constitue un critre de slection.
Un deuxime niveau de contrle rside dans lvaluation de la cohrence des
pratiques avec les procdures et ensuite de la cohrence des pratiques entre
elles. Reprenons notre exemple de recrutement en phase dinternationalisation. Lauditeur sassure alors de la mise en application du test de langue lors
du recrutement et de la cohrence avec les systmes de promotion interne de
lentreprise.
Enfin, le dernier type de contrle permet dvaluer la pertinence des procdures par rapport aux rsultats attendus. Il sagit pour lauditeur de mesurer,
au-del de lapplication des procdures, lopportunit de les mettre en
uvre. Pour continuer sur le mme exemple, si lensemble des salaris dispose dun document attestant dun score minimum aux tests du TOEFL ou
du TOEIC (tests danglais en tant que langue trangre dont la reconnaissance est mondiale), alors il ne semble pas pertinent dinternaliser une procdure de test dj ralise en externe.
Le deuxime niveau
Il sintresse aux cots dobtention des rsultats. Lauditeur value alors la
capacit des gestionnaires sociaux expliquer lvolution des cots sociaux,
la sparation des cots obligatoires et des cots discrtionnaires, linformatisation de la gestion RH (outils et leur usage), les choix dexternalisation et la
mesure des cots cachs relatifs aux dysfonctionnements sociaux de lorganisation (absentisme, accidents du travail, productivit, qualit, turnover, etc.).
Le troisime niveau
Groupe Eyrolles
Il cherche mesurer la qualit des rsultats. Cela signifie daprs Foucher

(1987), cit par Couret et Igalens (1988), que : Laudit doit sattacher
comprendre le cheminement de linformation au travers des diffrentes
fonctions, sassurer que le flux des informations chemine correctement.
Dans ce cadre lauditeur analyse les flux dinformations (relles et virtuelles)
au sein de lorganisation.
Laudit stratgique : le lien entre ressources humaines et stratgie

Le troisime et dernier type daudit social est laudit stratgique. Celui-ci se
produit une fois les deux prcdents raliss, puisquil en constitue un
aboutissement. Il sagit de laudit de la traduction de la stratgie sociale en
phases et en programmes : lauditeur tudie la stratgie sociale et son oprationnalisation concrte. Il procde donc lanalyse des diffrentes phases du
processus de planification stratgique et en particulier examine les modalits
de suivi et dvaluation permettant ladquation des politiques sociales.
Lauditeur value galement la capacit des plans et des programmes traduire lensemble de la stratgie sociale.
En guise de synthse, voici un schma reprenant les questions principales de

lauditeur social lors de la ralisation des diffrents types daudits sociaux.
Audit de conformit
Audit d'efficacit
Audit stratgique
Conformit avec les textes

et obligations lgales ?
Efficacit cot/avantage ?
Cohrence des procdures et
pratiques ?
Cohrence de stratgie
sociale avec la stratgie et
les objectifs de l'entreprise ?
Schma n 2 - Les trois types daudit social et leurs objectifs
Maintenant que nous avons prsent les diffrents types daudits sociaux et
leur rle dans lentreprise, prcisons la mthodologie spcifique laudit
social. Cette tape nous permettra ensuite de mesurer limportance de sa
contextualisation et les difficults que cela peut entraner au sein dune multinationale.
Groupe Eyrolles
De plus, il value la convergence de la stratgie sociale et de la stratgie gnrale de lentreprise. Lauditeur interroge alors la stratgie sociale sur sa capacit tre un lment favorisant la russite de la stratgie gnrale. Il doit
rpondre la question suivante : lentreprise dispose-t-elle des ressources
humaines adaptes aux objectifs quelle sest fixs ?
Le diagnostic social : un outil de contrle de lentreprise

La mthodologie daudit social reprend un certain nombre dtapes de la
mthodologie daudit oprationnel puisquelle en partage les origines. Nous
reprenons ici les principales tapes pour insister uniquement sur les spcificits de laudit social. La difficult de ce dernier rside dans ses implications
potentielles. Les salaris ont une conscience exacerbe des consquences
possibles dun audit social qui peuvent prendre la forme de licenciements, de
plans sociaux et de rorganisations. Il peut galement entraner des recrutements et de possibles dveloppements, mais cet aspect-l est moins stigmatis
par les salaris.
Venons-en la mthodologie daudit social, qui comprend neuf tapes

regroupes en quatre squences.
Informations et ngociations
La premire tape concerne la recherche dinformations ainsi que les ngociations pralables la mission. Lauditeur ngocie les termes de la lettre
daudit avec les demandeurs de la mission. Ce document dfinit les objectifs
de la mission ainsi que son primtre daction et les lments de logistique et
de paiement.
Une fois les contours de la mission dfinis, lauditeur sattelle la phase de
recueil dinformations particulirement importantes. Un auditeur junior se
doit de soigner cette phase pour simprgner de lexprience de ses pairs.
Groupe Eyrolles
Le recueil dinformations sarticule autour de plusieurs objectifs complmentaires. Il sagit dabord de prendre connaissance de lentreprise en tudiant son histoire, ses chiffres cls et les rapports daudit raliss
prcdemment. Le deuxime objectif vise construire le rfrentiel sectoriel
de lentreprise. Pour cela, une tude approfondie du secteur doit tre effectue afin dlaborer un rfrentiel pouvant servir de cadre et de rfrent tout
au long de la mission. Cette tape de recueil dinformation est dautant plus
stratgique quun rfrentiel incomplet peut faire manquer lauditeur une
problmatique importante.
Enfin, le troisime objectif de cette tape de recueil dinformations consiste
en un premier test de la relation avec les diffrentes parties prenantes de
lorganisation.
Concrtement, ces trois objectifs prennent la forme de recueils et danalyses
de documents et dinterviews avec des reprsentants des parties prenantes
En pratique
Le rfrentiel sectoriel permet aussi de relativiser certaines donnes de
lentreprise. titre dexemple, le taux de turnover varie normment en
fonction des secteurs dactivit. Dans celui de lhtellerie et de la restauration, il est bien plus lev que dans la plupart des autres secteurs.
Constitution dun chantillon contrast

La deuxime tape de la mthodologie daudit social est rcurrente dans les
missions daudit oprationnel. Il sagit de constituer un chantillon contrast
qui assure une grande diversit de points de vue et pas uniquement une
reprsentativit. Cest--dire quau-del de la reprsentation statistique des
types de contrats par exemple, lauditeur examine tous les types de contrats
(pas uniquement les CDI et les CDD sil existe galement quelques contrats
spcifiques au sein de lentreprise). Lauditeur doit aussi tenir compte des
contraintes budgtaires, en calculant notamment le cot homme/jour pour
les entretiens raliser. Ces contraintes ont t dfinies au sein de la lettre
daudit.
Pour raliser lchantillonnage, lauditeur social doit avant toute chose dfinir les critres diffrenciants (ge, sexe, anciennet, niveau hirarchique, service, etc.) de la population tudie. Les entretiens raliss en prambule
aident dfinir des critres pertinents. Ensuite, lauditeur recense les personnes correspondant aux critres, pour ensuite procder un tirage au sort
alatoire des personnes rencontrer au sein du recensement.
Notons quil est primordial pour lauditeur social de communiquer sur la
mthode et le processus de recueil dinformation en introduction des entretiens afin dviter que linterview se sente stigmatis. Linterview est
cout pour son point de vue, cens reprsenter une catgorie de population
et non en vue de la suppression de son poste, comme il le peroit souvent.
Cest dailleurs ce qui ressort de ltude de la perception de laudit social
ralise par Voynnet-Fourboul (2005) : Laudit est command avant un plan
social et donc risque dtre annonciateur de rduction deffectifs.
Groupe Eyrolles
(direction, syndicats, reprsentants du personnel). Une fois les informations

recueillies et analyses, lauditeur social rdige des synthses de travail dans le
but de construire ensuite un rfrentiel adapt.
Recueil de donnes par entretiens

Les entretiens reprsentent une source dinformation stratgique et doivent
tre prpars avec soin pour pouvoir en ressortir le maximum de donnes
pertinentes. Ils sont le plus souvent semi-directifs centrs, cest--dire quun
guide dentretien est rdig au pralable pour servir de trame. Cet outil se
fonde sur le prcdent recueil de donnes. Les entretiens ont frquemment,
dans le cadre dun audit social, un contenu motionnel fort d la thmatique de laudit qui traite des relations entre les personnes. Cette subjectivit et
cette motion doivent tre prises en considration.
Analyse de contenu
Une fois les entretiens raliss, lauditeur social effectue une analyse de
contenu des retranscriptions des entretiens. Laudit slectionne les thmatiques importantes ainsi que les sous-thmes rcurrents lors des interviews.
Cette construction de larborescence des thmes et des sous-thmes reprsente une tape cl de laudit social.
lissue de cette premire analyse, laudit peut choisir de valider ces hypothses dexplication par ladministration dun questionnaire diffus
lensemble de la population tudie. Ainsi, les pistes de rflexion provenant
de lanalyse de contenu peuvent tre valides ou invalides. Le choix de
loutil danalyse des rsultats statistiques est dterminant et peut orienter les
rsultats. Cest pourquoi il est fondamental de choisir son appareillage statistique a priori.
Restitution des rsultats

La restitution des rsultats de laudit social, qui sarticulent autour de lanalyse
de la situation et de la prsentation du plan daction, peut tre la fois crite
et/ou orale. En fonction du type de destinataires (direction, syndicats, salaris,
actionnaires, etc.), laudit social adapte son discours et la forme de ses rsultats.
Groupe Eyrolles
Construction du plan daction

Ltape la plus importante de laudit social consiste laborer le plan daction
lissue des recommandations. En effet, cest pour obtenir ce plan daction
que lentreprise a suscit un audit social. Il est donc fondamental de rdiger
un plan daction prcis et adapt la situation et au contexte de lorganisation. Comme le spcifie Voynnet-Fourboul (2005), limage de laudit est
meilleure quand la partie sensible que constituent les prconisations donne

satisfaction .
En pratique
Les rubriques principales du plan daction sont :
une description prcise des actions mener (en fonction du diagnostic
et de la stratgie sociale de lentreprise) ;
le processus ncessaire pour mener bien cette action :
la prcision dune date butoir et/ou dune chance ;

la spcification prcise et a priori des indicateurs de mesure de la ralisation et de quantification de la ralisation de laction ; il sagit par
exemple de prciser que lvolution des parts de march ou encore la
rduction de labsentisme sont des critres dvaluation pertinents de la
ralisation ou non de laction mener.
Pour augmenter lappropriation du plan daction par les acteurs de lentreprise et la ralisation des actions mener, lauditeur social peut soumettre ses
ides de recommandations des acteurs cls de lentreprise. Ainsi, ces interlocuteurs rendent compte de la faisabilit des actions et permettent des ajustements ncessaires. Le plan daction aura alors bien plus dimpact dans
lentreprise, ce qui reprsente le succs (ou lchec) dune mission daudit
social. Louart et Beaucourt (2005) prcisent dailleurs que pour pondrer
les variables quon juge utiles et pertinentes un moment donn, il importe
donc de maintenir nos changes entre les acteurs concerns .
Nous avons voqu dans le dtail ce qui fonde laudit social, les trois types
daudit sociaux, ainsi que la mthodologie ddie. Dterminons maintenant
la complexit de laudit social dans un contexte international. Pour cela,
nous nous appuyons sur le cas dun audit social dans une multinationale,
pour mettre en vidence les problmatiques mergeant de la diversit des
contextes.
Groupe Eyrolles
la dsignation du responsable de la ralisation de laction (service, personne, etc.) ;
Laudit social dans un contexte international
Laudit social en contexte international met jour deux problmatiques

principales que nous prsentons ci-aprs. Dune part, il a la spcificit dtre
fortement li au contexte lgal. De ce fait, les filiales des multinationales,
intgres dans de multiples contextes lgaux, sont contraintes dadapter
laudit social leur contexte lgal spcifique. Dautre part, lmergence et le
dveloppement rcent du concept de RSE modifient la place de laudit
social par rapport aux autres formes daudits oprationnels. Laudit social
revt une importance nouvelle au sein de lentreprise et surtout vis--vis des
demandes des parties prenantes. Il devient de plus en plus stratgique.
Les spcificits de laudit social pour une multinationale

La spcificit de laudit social en contexte international tient au fait que
laudit des relations internes et externes de lentreprise dpend en grande
partie du contexte de lorganisation. En effet, un certain nombre de relations
et dobligations dinformations est impos par la lgislation sociale du pays.
Ainsi, au sein dune multinationale, laudit social doit tenir compte des
contraintes multiformes de lorganisation.
Groupe Eyrolles
La complexit des contextes multiples

Comme nous lavons spcifi prcdemment, laudit social dpend directement du contexte lgal de lentreprise. Laudit social de conformit, qui
reprsente le socle de laudit social, sattache sassurer de la conformit du
comportement organisationnel avec la loi. Le rfrentiel lgal varie dun pays
lautre. Notons quau sein de lUnion europenne, la constitution europenne reprsente un mta-cadre commun aux pays membres. Toutefois, les
dclinaisons lgales nationales changent dun pays lautre. titre dexemple, la rglementation sur lamnagement du temps de travail est particulirement htrogne au sein de lUE et dans le reste du monde. Le cadre lgal
franais encadre clairement la comptabilisation du temps de travail. Cette
rglementation est volutive dans le temps comme lillustre le mode dapplication de la loi Aubry 2 sur la rduction du temps de travail (35 heures).
Lauditeur social se doit donc deffectuer une veille documentaire sur les
cadres lgaux des pays dans lesquels il intervient. Le rfrentiel subit donc
une contextualisation spatio-temporelle, puisquil varie dun pays lautre et
dans le temps.
La contrainte lgale constitue donc un premier lment de contextualisation

dont il faut tenir compte. Mais il nest pas le seul. En effet, les donnes du
march et les habitudes culturelles dun pays influencent galement largement la pratique de laudit interne et la constitution du rfrentiel. Comme
nous lavons prcis lors de la description de la mthodologie daudit social,
lauditeur construit son rfrentiel lissue dun recueil des donnes. Les
donnes conomiques et sociales varient dun pays lautre et le rfrentiel
daudit doit tre totalement rvis en fonction des lments de contexte.
Les donnes statistiques sur le turnover des salaris dpendent en grande

partie de la structure du march du travail local. Le turnover des salaris
toutes catgories confondues est bien plus lev en Grande-Bretagne
quen France. En effet, en Grande-Bretagne, le cadre juridique facilite les
licenciements et de fait les recrutements. Ainsi, les flux de personnes dun
poste un autre sont bien plus importants. En France, le cadre lgal ne
favorise pas les flux et cette tendance saccompagne dun taux de chmage lev qui rigidifie les flux potentiels. De ce fait, un turnover de 15 ou
20 % savre bien plus alarmant dans une structure franaise que dans une
structure britannique.
La problmatique de laudit social en contexte international rside alors dans

une difficult de comparaison et de consolidation des audits sociaux des diffrents pays audits. Labsence de comparaisons possibles et de gestion globale des audits sociaux raliss amne la multinationale redfinir les audits
sociaux. Si laudit social peut tre frein par le contexte international, il a
galement un rle fdrateur jouer.
Laudit social et le management multiculturel

Nous avons voqu les difficults de laudit social linternational. Nous
proposons maintenant den envisager les opportunits. Laudit social peut, au
sein dune multinationale, chercher transcender les difficults des divergences du contexte social, lgal et culturel pour construire un socle commun.
Plus concrtement, lauditeur social au sein dune multinationale construit un rfrentiel et un guide daudit avant chacune de ses missions. Un
socle commun dlments auditer revient systmatiquement lors de la
constitution du rfrentiel. cela sajoutent des lments propres au sec-
Groupe Eyrolles
En pratique
teur dactivit et lentreprise. Lauditeur dtermine alors les lments

stratgiques pour cette multinationale. Cest lors de la constitution de ce
rfrentiel commun que lauditeur joue un rle dterminant de fdration
des filiales de la multinationale. En effet, il dfinit les lments stratgiques
et rcurrents devant tre audits systmatiquement au sein des filiales.
Laudit social participe alors la construction de lidentit de la multinationale par le choix du socle commun. Ce dernier reprsente la fois les
orientations stratgiques de lentreprise et les points communs des filiales.
La construction et la diffusion de lidentit de la multinationale passe donc
par la constitution de ce rfrentiel.
Alors que la multinationale est partage entre une stratgie globale et une
stratgie adapte aux contextes locaux, le rfrentiel de lauditeur social
reprsente la part commune des filiales. Si, comme nous lavons prcis prcdemment, laudit social se doit de sadapter aux contextes lgaux, sociaux
et culturels, par son rfrentiel commun lensemble de lentreprise, il forge
une identit lentreprise. Le rle stratgique de laudit social tient donc la
constitution du rfrentiel fdrateur de lidentit de lentreprise et de ses
lments stratgiques.
Ce rle stratgique est aujourdhui renforc par les nouveaux rles de laudit
social au sein des multinationales. Le dveloppement de la responsabilit
sociale de lentreprise participe au nouveau positionnement de laudit social.
Groupe Eyrolles
Les nouveaux rles de laudit social au sein de multinationales

Laudit social revt donc de nouvelles finalits au-del de son objectif initial
de contrle de la conformit de lentreprise, de son efficacit et de sa cohrence stratgique. Le premier rle nouveau tient son aspect fdrateur qui,
au sein des multinationales, prend la forme dun nouveau mode de coordination et de construction dune identit. Le deuxime rle mergeant dans un
contexte international se fonde sur limportance grandissante du concept de
RSE. Au-del dun concept, elle modifie aujourdhui les relations de lentreprise avec ses parties prenantes, ce qui amne aussi faire voluer ses pratiques de gestion. Nous nous fondons ici sur la dfinition de la notion de
parties prenantes de Freeman (1984) : Tout groupe ou individu qui peut affecter
ou qui est affect par la ralisation des buts dune organisation. Au sens large, le terme
comprend les fournisseurs, les clients, les actionnaires, les employs, les communauts,
les groupes politiques, les autorits politiques (nationales et territoriales) ; les mdias,
etc.
Depuis la fin des annes 1980 aux tats-Unis et des annes 1990 en Europe,
les notions de dveloppement durable (dfini par le rapport Brundtland en
1987) et de RSE sont devenues des lments incontournables pour lentreprise. La RSE reprsente une dclinaison du dveloppement durable ddie
aux modes de gestion de lentreprise. Nous nous rfrons la dfinition de la
RSE de la Commission europenne (cite par Djean, 2004), qui intgre
deux dimensions lune lie aux ressources humaines et la seconde, plus
large, concernant lenvironnement, les droits de lHomme et les
fournisseurs : Le concept de responsabilit socitale des entreprises signifie essentiellement que celles-ci dcident de leur propre initiative de contribuer amliorer la socit
et rendre plus propre lenvironnement []. Cette responsabilit sexprime vis--vis
des salaris et, plus gnralement, de toutes les parties prenantes qui sont concernes
par lentreprise mais qui peuvent, leur tour, influer sur sa russite.
Les multinationales communiquent de plus en plus auprs des diffrentes
parties prenantes sur leurs comportements social et socital. Pour cela, les
entreprises utilisent dautant plus laudit social, mais dans un but nouveau :
fournir aux parties prenantes des informations sur les relations sociales de
lentreprise. Cette pression cre par les cabinets de notation sociale et la
constitution et la diffusion dinvestissements socialement responsables, oblige
les multinationales et les socits cotes notamment communiquer de nouveaux indicateurs de gestion. Ceux proposs par les cabinets de notation
sociale varient dun cabinet lautre. Toutefois, le cabinet Vigeo fonde ses
valuations dentreprise sur six domaines :
droits humains ;
ressources humaines ;
comportements sur les marchs ;
gouvernement dentreprise ;
environnement ;
engagement socital.
Concernant le domaine des ressources humaines, Vigeo cherche valuer
lamlioration continue des relations professionnelles, les relations demploi et des
conditions de travail 1.
1. www.vigeo.com/csr-rating-agency/fr/methodologie/critresderecherche/37-criteresdanalyse.html
Groupe Eyrolles
Audit social et responsabilit sociale de lentreprise
Pour cela, le cabinet se rfre aux textes de lois fondateurs tels que les dclarations de lONU et de lUE. Ces indicateurs se retrouvent dans la dmarche
daudit social qui intgre alors de plus en plus un volet daudit de RSE. Si
Egg (2005) considre que laudit de RSE balbutie encore , il semble toutefois
que son dveloppement reprsente une tendance importante et quil replace
alors laudit social au cur des proccupations stratgiques. Laudit social
devient un moyen de communiquer avec les parties prenantes et un lien
nouveau avec celles-ci.
Pour aller plus loin,Vatteville et Joras (2000) considrent quun modle universel de gestion est en train de voir le jour via le dveloppement des normes
internationales (ISO 9 001 et ISO 14 000 notamment). Prsentes dans de
nombreuses multinationales, quel que soit le pays, ces normes participent
une harmonisation des modes de gestion et des standards. Laudit social
reprsente une des dimensions de ces normes, comme le montre le
schma n 3.
Audit financier
RESSOURCES FINANCIRES
Bilan comptable
Responsabilit financire
DVELOPPEMENT DURABLE
Responsabilit sociale
RESSOURCES HUMAINES
Bilan social
Audit social
Responsabilit cologique
RESSOURCES HUMAINES
Bilan cologique
Audit d'environnement
Source : Vatteville et Joras (2000).
Groupe Eyrolles
Schma n 3 - Le triangle de la soutenabilit
Laudit social se trouve donc renforc par le dveloppement de laudit de

RSE et par la cration de besoins nouveaux de communication non-financire de lentreprise autour de la notion de dveloppement durable.
Le rle stratgique de laudit social
Fron (2005) voque la cration dun audit social de troisime gnration

pour montrer quun nouvel audit social est en cours dlaboration. Lauteur
prcise que laudit social a t tour tour considr comme un cot social,
puis comme un investissement en dissociant lentreprise et les personnes. Le
dveloppement de laudit de RSE et du concept mme de RSE replace les
individus et leurs relations au cur mme de lentreprise. Lauteur prche
pour une approche globale de laudit social intgrant toutes les parties
concernes.
Lauditeur social doit alors dfinir lensemble des parties concernes ainsi que
des indicateurs sociaux et socitaux pertinents. Le dfi de laudit social de
troisime gnration rside dans la nouvelle dfinition de son primtre, de
sa finalit et des nouveaux indicateurs cls. Lmergence de nouvelles
demandes des parties prenantes reprsente la fois une opportunit importante et un dfi pour les auditeurs sociaux.
POUR CONCLURE
En conclusion, aprs avoir prsent les fondements de laudit social, sa mthodologie
et ses spcificits en contexte international, nous avons cherch montrer les dfis de
laudit social aujourdhui. Il semble quil se trouve un tournant important de son
volution.
De plus, lintgration de laudit de la RSE laudit social reprsente avant toute
chose une opportunit qui permettra de replacer laudit social un niveau
stratgique. Notons que cette volution est particulirement rcente et ne nous permet
quune faible prise de recul par rapport ces nouvelles notions.
Toutefois, linstitutionnalisation des concepts de dveloppement durable et de
responsabilit sociale, ralise par lONU et lUE notamment, assure laudit de la
RSE et par extension laudit social, dun renouveau particulirement intressant.
Groupe Eyrolles
Comme nous lavons prcis prcdemment, laudit social revt aujourdhui

des objectifs stratgiques nouveaux. Il sagit pour les multinationales notamment de sen servir comme dun outil qui fdre, transmet et construit une
identit. Il sagit galement dun outil de communication et de gestion des
indicateurs sociaux et socitaux rclams par les parties prenantes. Laudit
social arrive alors transcender ses difficults initiales de gestion de contextes
multiples pour se confrer une position stratgique au sein des multinationales.
Chapitre 12
Laudit stratgique :
positionnement, dmarche et risques
PAR PATRICIA COUTELLE-BRILLET,

de Tours
audit stratgique est associ lune des sciences de gestion les plus difficiles apprhender en entreprise. Conu comme une confrontation
de lensemble des politiques et stratgies de lentreprise avec le milieu dans
lequel elles se situent pour en vrifier la cohrence globale, il peut transformer de manire durable lorganisation par les prconisations pouvant tre
suggres. Cest pourquoi il se rvle trs dlicat raliser et demande une
grande connaissance et exprience de lentreprise.
Groupe Eyrolles
En thorie, lauditeur doit jouer un rle dans lapprciation de la performance. Il doit sassurer quune norme de performance est prsente dans
lentreprise. En pratique, il permet de clarifier de manire prcise le rle
dapprentissage et de transformation dune entreprise dans un environnement en perptuel mouvement. Ces notions sont mises en exergue de
manire encore plus cruciale dans un contexte international o les conditions socioculturelles sont diffrentes. Laudit stratgique peut aisment
sappliquer toutes les entreprises, car il doit tre mis en place de manire
indiffrencie dans la maison mre, les filiales, les Strategic Business Units
(SBU), les dpartements et le capital humain : il sapplique lentreprise dans
sa globalit.
Ce chapitre vise prsenter, dans un premier temps, les principales volutions de la stratgie afin de prciser son positionnement et ses rles dans
lentreprise ; dans un deuxime temps, prciser la dmarche et les principes
ncessaires ltablissement dun audit stratgique ; enfin dans un troisime
temps, dtailler les risques lis la ralisation de laudit, afin de conclure sur
la ncessaire mise en place dune vision partage.
La stratgie dentreprise est encore jeune au sein des sciences du management. Nanmoins, depuis louvrage fondateur de 1965 La mthode de Harvard
et son modle stratgique, dit par des chercheurs de la Business School de
Harvard, la stratgie dentreprise a fait lobjet de nombreuses recherches trs
approfondies. Aujourdhui, la doctrine et les techniques stratgiques sont
solides et abouties, mais lon constate que trs peu dentreprises sont capables
de mettre en uvre ses techniques. Ses finalits, trs importantes, ont pour
objet dexpliquer les comportements passs de lentreprise et dorienter ses
actions futures. ce titre, elle se positionne comme llment fdrateur de
toutes les fonctions et joue un rle crucial pour lavenir de lentreprise. La
comprhension des lments du positionnement et des rles de cette fonction (planification, liens avec lorganisation) est un pralable indispensable
la ralisation dun audit stratgique.
Les principales volutions de lanalyse stratgique

La stratgie est dfinie selon Thitart (1993) comme lensemble des dcisions
et des actions relatives au choix des moyens et larticulation des ressources en vue
datteindre un objectif . ce titre, elle devient le coordinateur de toutes les
fonctions de lentreprise et engage de faon durable, voire dfinitive, le devenir de lentreprise. Au cours des dernires dcennies, la vision stratgique
fdratrice a volu et permet denrichir considrablement les indicateurs
que lentreprise peut apprhender (Durieux et al., 2000).
Ainsi, pendant les annes 1960, la dmarche danalyse stratgique a consist
dabord identifier les opportunits et les menaces lies lenvironnement.
Ces dernires correspondent aux transformations de lenvironnement susceptibles de remettre en cause les objectifs stratgiques de lentreprise. Les
opportunits, elles, facilitent latteinte des buts. Dans un deuxime temps, le
stratge a rpertori les forces et les faiblesses de lentreprise par rapport ses
concurrents. Enfin, on a confront les forces/faiblesses aux opportunits/
menaces afin de faire merger des actions possibles entreprendre. Cette
mthode a permis de distinguer les facteurs cls de succs et les comptences
distinctives de lentreprise et des fonctions.
Dans les annes 1970, des outils synthtiques ont t proposs afin de confronter conjointement les opportunits et les menaces ainsi que les forces et les
faiblesses. Ces dispositifs intgrateurs constituent des matrices danalyse
Groupe Eyrolles
Le positionnement et les rles de la stratgie

dans lentreprise internationale
Laudit stratgique : positionnement, dmarche et risques 291
stratgique (matrices BCG, McKinsey, A.D. Little). Elles permettent une

allocation judicieuse des ressources de lentreprise en fonction de ses activits et soulignent limportance de la segmentation stratgique (dcoupage des activits de lentreprise en couple produit/march) et la notion
de position concurrentielle. Ces matrices proposent aux entreprises
dquilibrer leur portefeuille dactivits et leur fournissent des voies
dorientations stratgiques. La stratgie tait alors apprhende comme un
outil dterministe.
Puis les annes 1980 ont dpass le dterminisme avec lapparition de la

notion de concurrence largie mise en vidence par Michael Porter (1982)
et la prise de conscience des capacits de lentreprise changer les rgles du
jeu. Porter, par un renouvellement de lanalyse de la comptitivit, a mis en
vidence la notion de concurrence largie, qui prend en considration les
fournisseurs, les clients, les nouveaux entrants et les produits substituts en
plus de la notion de concurrence directe. Cette prise en compte de lensemble des parties prenantes en liaison directe avec lentreprise a permis dlargir
le champ dapplication de la stratgie. Paralllement cette notion, lanalyse
stratgique a dmontr la capacit de lentreprise changer les rgles du jeu
en proposant des stratgies de rupture privilgiant la diffrenciation et
linnovation laffrontement direct. Ces stratgies privilgient une approche
fonde sur la spcificit et la raret des ressources dtenues par lentreprise.
Pour mettre en place ces volutions, lentreprise dveloppe aussi des stratgies relationnelles dalliance de coopration avec des concurrents ou des partenaires (fournisseurs, clients). Une nouvelle fois, le champ dapplication de
la stratgie sest largi et complexifi.
Groupe Eyrolles
Enfin dans les annes 1990, les tendances se sont orientes vers les processus
sous-jacents la construction et la mise en place de la stratgie. Elles considraient la stratgie en termes de processus plus que de contenu et sarticulaient
autour de concepts comme le changement et la complexit. Elles ont fait
appel lapprentissage organisationnel et au jeu des acteurs susceptibles
dimposer des dynamiques la trajectoire stratgique. Cette vision rcente a
mis en exergue les processus de dcision au sein de lentreprise et soulign les
allers-retours entre la stratgie et lorganisation.
Par la comprhension de ces volutions, lauditeur interne, dans le domaine
de la stratgie, doit porter son attention sur deux grands lments : la planification stratgique et les liens stratgie/organisation.
La planification stratgique
La planification stratgique reprend les principales volutions de la stratgie,

savoir la vision descriptive de lcole de Harvard, lanalyse matricielle,
lanalyse concurrentielle et lapproche par les ressources rares. En effet,
quatre grands lments sont pris en considration pour tablir cette
planification : dfinition des objectifs, dfinition des mtiers (ressources
rares), analyse de lenvironnement (cole de Harvard, Porter) et analyse des
potentiels existants (matrices) comme le montre le schma ci-aprs.
La dfinition des objectifs court terme, mais surtout moyen et long terme
constitue une tape incontournable de la planification. Elle permet de dfinir une ligne directrice pour lentreprise et dorienter celle-ci vers une vision
commune. La dfinition des mtiers engendre une rflexion sur les ressources dont dispose lentreprise. Quels sont les lments principaux qui peuvent
lui permettre de sengager dans tel secteur ou lobligent se dsengager de tel
autre ? Lanalyse de lenvironnement met en exergue la position de lentreprise par rapport aux diffrentes parties prenantes :
le macro-environnement (politique, conomique, socioculturel, technologique, environnemental, lgal) ;
le micro-environnement avec les concurrents, les fournisseurs et les
clients.
Enfin, lanalyse des potentiels existants permet de dterminer les facteurs de
comptitivit sur lesquels lentreprise pourra sappuyer pour mettre en place
ses stratgies.
La planification reprsente un instrument minemment stratgique. Elle
permet de dcrire le systme de valeurs associ lentreprise et mobilise
lensemble des salaris vers une vision commune. Le plan permet de coordonner pour faciliter lchange entre les diffrentes fonctions prsentes dans
lentreprise. Cest galement un facilitateur du pilotage de lentreprise,
puisquil entrane la mise en place des indicateurs permettant le suivi des
Groupe Eyrolles
En dcembre 2005, lExpansion Management Review publiait les rsultats de

lenqute mondiale du cabinet de conseil amricain Bain & Co sur les outils
de management les plus utiliss par les entreprises dans lobjectif dune amlioration de leur rsultat net. En tte de ces outils, la planification stratgique
est utilise par 79 % des entreprises et donne le premier taux de satisfaction.
Cet outil, qui concide gnralement avec une vision de long terme de
lentreprise, est aujourdhui plbiscit par les chefs dentreprise comme un
instrument indispensable de pilotage de la performance.
Dfinition
des mtiers
Dfinition
des objectifs
Analyse de
l'environnement
DAS exploits
Autres DAS
possibles
valuation
du portefeuille
volution
des DAS
Analyse des
potentiels existants
Segmentation
stratgique
Rflexion
stratgique
Choix d'un
portefeuille de DAS
Corporate
strategy
Segmentation
des DAS
Business
strategies
Choix d'une
stratgie par DAS
valuation du plan
stratgique
Planification
stratgique
Dfinition des
objectifs du plan
stratgique
Cohrence
finalit/stratgie
Stratgie
choisie
Mise en oeuvre
= action
Budget
par fonction
Projet
d'entreprise
Phase
tactique
Contrle
budgtaire
Animation
des hommes
Source : Sicard (1998).

Schma n 1 - Les tapes de la rflexion stratgique
Groupe Eyrolles
actions entreprises. Enfin, la ralisation dun plan implique la prise en considration de toutes les ventualits possibles et prvoit par consquent la gestion de crise.
Nanmoins, la planification reste associe un management par les objectifs
(direction par objectif et direction participative par objectif) qui sont, notamment dans le cadre dune entreprise internationale, de plus en plus difficiles
fixer (Delavalle, 2005). Cette notion dobjectif de performance doit donc
tre associe aux modes dorganisation prsents dans lentreprise, qui vont
conditionner la russite de la planification.
Les liens avec lorganisation
Cette approche organisationnelle permet de comprendre pourquoi la stratgie reste encore trs difficile apprhender pour un dirigeant (Sicard, 1998).
En effet, la planification stratgique engendre une mise en place formalise
des actions de lentreprise qui, dans la pratique, ne semble pas toujours si formalise et relve parfois de lintuition. Or, la prsence au sein dune organisation dacteurs varis avec des modes de dcisions diversifis ne permet pas
toujours une trajectoire linaire. Le dfi lanc aujourdhui par la stratgie
dentreprise est la comprhension du jeu des acteurs prsents dans lentreprise. Lexercice mme du leadership ou style de management est alors pos.
La structure de lentreprise semble un lment cl de la stratgie de lentreprise. une volution de la stratgie doit correspondre, sous peine dinefficacit, une volution concomitante de la structure. Cette adaptation peut
tre mene de diffrentes manires :
incrmentale : modification sur une priode assez longue pour rpondre
des contraintes ;
brutale : le changement de structure est mis lhonneur, car la stratgie
implique une raffectation des responsabilits, un nouvel organigramme ;
planifie lavance : une adaptation programme et un apprentissage progressif des nouveaux modes daction se met alors en place.
Quel que soit le mode dvolution observ, ladaptation de la structure prsente une plus ou moins grande inertie, le passage laction se caractrisant
par une grande immobilit des comportements au sein de lorganisation. La
structure ne doit pas tre considre comme un simple moyen de mise en
uvre de la stratgie, mais constituer lun des axes essentiels de la rflexion
sur le management de lentreprise. Autrement dit, le comportement stratgique doit tre induit, cest--dire prendre en compte le contexte structurel de
lentreprise, model lui-mme par les stratgies poursuivies antrieurement.
Groupe Eyrolles
La performance de lentreprise doit tre value en terme dobjectifs, mais

aussi prendre en considration les moyens dploys pour les atteindre. Cette
apprhension des moyens revient tablir des liens entre stratgie et organisation. Comment doit fonctionner lorganisation pour mettre en uvre la
stratgie ? La stratgie engendre-t-elle des modifications de lorganisation ?
Ces questions renvoient une analyse plus processuelle de la stratgie ainsi
quaux nouvelles approches thoriques dveloppes telles que lapprentissage
organisationnel, le changement organisationnel et la prise en considration
du jeu des acteurs.
Lauditeur interne ne doit pas seulement valuer la cohrence des dcisions

stratgiques de lentreprise, mais galement recenser les modes de dcision et
les jeux dacteurs ayant permis la mise en place de la stratgie.
La dmarche de laudit stratgique :

ltablissement dune performance durable
Laudit stratgique (ou laudit de stratgie) est conu comme une confrontation de lensemble des politiques et des stratgies de lentreprise avec le
milieu dans lequel elles se situent pour en vrifier la cohrence globale. Le
rle de lauditeur est donc orient vers une vrification des incohrences.
Pour cela, il peut mettre en place un rfrentiel en fonction des caractristiques de lenvironnement et de lentreprise, qui lui servira de repre pour
examiner la cohrence des dcisions. La dmarche de mise en place de ce
rfrentiel, ainsi que les principaux domaines dindicateurs ncessaires
laudit, font lobjet de ce prochain dveloppement.
La dmarche de mise en place de laudit
Groupe Eyrolles
La construction dun rfrentiel constitue la premire tape de mise en place

dun audit stratgique. Il permettra lauditeur de positionner lentreprise
par rapport son environnement et ses concurrents et dvaluer la cohrence de ses dcisions stratgiques. En aucun cas lauditeur ne doit juger les
dcisions stratgiques qui sont prises. Nanmoins, il doit pouvoir tablir un
constat de cohrence des dcisions par rapport un environnement externe
et interne. La mise en place du rfrentiel dbute par ltablissement dun
diagnostic prcis de lentreprise au sein de son environnement. Des indicateurs de contrle doivent ensuite tre proposs afin dassurer le suivi de
laudit et son utilisation dans le cadre de la stratgie de lentreprise.
Plusieurs tapes caractrisent la mise en place dun audit stratgique :
le recueil dinformations ;
la construction des indicateurs ;
la formulation de la problmatique ;
lestimation des consquences ;
la hirarchisation des problmes ;
la mise en place du rfrentiel.
Le recueil dinformations
Le principal interlocuteur de laudit stratgique est souvent le directeur de

lentreprise ou un membre de la direction gnrale. Cest lui qui fournira
lauditeur les cls de la recherche dinformation dans lentreprise. Il est aussi
le pilote essentiel de la stratgie et, ce titre, il est important de prendre en
compte sa vision et ses rflexions qui permettront dvaluer la pertinence et
ladquation de la stratgie en cours. Cest aussi le directeur qui donnera
lauditeur les sources dinformation ncessaires ltablissement de son audit.
Dautres personnes sont alors susceptibles dtre interroges : les directeurs
des principales fonctions (marketing, finances, ressources humaines, production, recherche, etc.), les responsables du ple dinformation et du ple
dtudes et peut-tre aussi des sources externes lentreprise (fournisseurs,
sous-traitants, clients).
Les informations que doit rassembler lauditeur sont externes et internes afin
de pouvoir effectuer un diagnostic complet de lentreprise. Ainsi, le diagnostic externe concerne lenvironnement :
macro-environnement : environnement politique (stabilit/instabilit),
conomique (indicateurs), sociologique (tendances dmographiques et
de comportement), technologique (progrs technique), cologique
(dveloppement durable), lgal (aspects juridiques) ;
micro-environnement : demande (quantitative et qualitative), offre
(quantitative et qualitative), structure concurrentielle (place et image des
principaux concurrents).
Quant au diagnostic interne, il vise la fonction stratgie et les principaux lments facilitant sa ralisation :
la stratgie : les grandes options stratgiques (spcialisation, diversification, intgration, innovation) ; analyse du portefeuille dactivits de
lentreprise ;
les modes dorganisation (structure simple/matricielle ; mode de gestion
hirarchique/partag) ;
les procdures (systme de planification, systme de contrle) ;
la productivit (analyse de rentabilit).
Groupe Eyrolles
Cette premire tape est cruciale dans la mise en place dun audit stratgique
(Besson et Possin, 2002). Deux lments importants la composent : le recensement des interlocuteurs et la recherche de toutes les sources dinformation
ncessaires laudit.
La construction des indicateurs
Le diagnostic tabli, lentreprise doit dpartager les lments considrs

comme prioritaires des lments secondaires. Ainsi, une hirarchisation des
points forts et des points faibles de lentreprise au sein de son environnement
merge et permet lauditeur de dterminer les indicateurs suivre en priorit. Ceux-ci peuvent tre quantitatifs (nombre de concurrents, parts de
march, taux de croissance), mais aussi qualitatifs (laboration dune nouvelle
loi ou directive gouvernementale, image de marque, comportement du
consommateur). Les indicateurs chiffrs sont faciles laborer et analyser.
Pour les indicateurs qualitatifs, la mise en place dchelles de mesure (image,
satisfaction) peut savrer ncessaire. Lauditeur peut aussi mettre en place
une mesure de probabilit dapparition ou non dun facteur qualitatif, ce qui
revient valuer le risque de survenance de lvnement : changement politique, accord dune subvention, etc.
Formulation de la problmatique, estimation des consquences,

hirarchisation des problmes
Par la mise en place des indicateurs, lauditeur va souligner les principales
incohrences se manifestant lors de lapplication de la stratgie lentreprise.
En pratique
Groupe Eyrolles
Une entreprise connat une performance moyenne, mais possde des comptences pouvant tre largies dautres secteurs dactivits. Laudit peut
suggrer une diversification. Lestimation des consquences (financires,
humaines, matrielles, dimage) lies cette problmatique va permettre
de hirarchiser les principaux facteurs lis cette problmatique et denvisager les secteurs dactivits prioritaires qui conviendraient pour amliorer
la performance de lentreprise.
Le rfrentiel nest toutefois pas un outil statique : les standards de comparaison des indicateurs et mme les indicateurs eux-mmes peuvent varier de
faon tre en cohrence avec lvolution de lenvironnement et la stratgie
mene par lentreprise. Ltablissement dun rfrentiel permet simplement
dinitier la dmarche afin dassurer la cohrence de la stratgie de lentreprise
et permettre son suivi.
Le triptyque constat/diagnostic/prconisation doit tre maintenu tout au

long dun audit stratgique. Afin de vrifier la cohrence dune stratgie, il
faut absolument dterminer les causes et suggrer des prconisations. Le
rfrentiel de lauditeur stratgique va alors comprendre des indicateurs de
cohrence associs la performance de lentreprise dune part et aux causes
de cette performance dautre part.
Les principes de mise en place des indicateurs

Lauditeur, lors de la construction du rfrentiel, doit sassurer que la performance voulue est ralisable par lentreprise en fonction de son secteur et de
ses moyens propres. Ensuite, lauditeur doit observer certains indicateurs
pour sassurer que la performance voulue est connue de tous les services.
Sassurer dune performance ralisable et multiple

Pour vrifier que la performance de lentreprise est ralisable, lauditeur doit
confronter les informations concernant les objectifs de performance avec
celles de lenvironnement, ainsi quavec les moyens internes de lentreprise.
Une politique de benchmarking peut aider lauditeur tablir une norme de
performance de lentreprise par rapport ses principaux concurrents et
fournir des critres defficacit et defficience. En effet, le benchmarking
consiste prendre en considration les meilleures pratiques dans le secteur
dactivit et dans le pays concern et effectuer une comparaison systmatique avec les rsultats et les moyens de lentreprise. Lauditeur peut alors
dterminer si lobjectif stratgique propos est ralisable grce lanalyse des
facteurs de contingence.
Groupe Eyrolles
La dtermination des causes des incohrences est gnralement identifie

grce des outils largement employs dans la mise en place de la qualit
comme le diagramme causes/effets. Cependant, dans le cadre des dcisions
stratgiques, le principal dfi relever rside dans le partage de linformation,
voire de la connaissance. Cette dtermination des causes dpasse lobtention
de simples informations. On trouve derrire une vritable analyse mene par
les acteurs de lentreprise, qui met en vidence leur connaissance, leur exprience. Cet argument va encore largir le champ des personnes interroger
dans le cadre dun audit stratgique, car cest sur le terrain que sexpliquent
souvent les incohrences. On passe alors dun audit de conformit un audit
processuel.
La performance de lentreprise reprsente un concept polymorphe. Elle

sapprcie par diffrents indicateurs qui ne sont pas uniquement financiers ou
boursiers. La performance de lentreprise prend aussi en considration le
march, les aspects sociaux et lenvironnement. Laudit de stratgie, qui
demande le contrle de la vision plus ou moins long terme de lentreprise,
doit sassurer que la performance est associe de multiples critres, comme
le suggre le tableau suivant.
Tableau n 1 - Les critres de performance
Types de performance
Indicateurs
Performance boursire
Valeur boursire sur les marchs internationaux pour les

entreprises cotes
Performance financire
Ratio dautonomie financire

CAF (capacit dautofinancement)
Performance conomique
Taux de croissance
Part de march
Implantation internationale
Performance sociale
Niveau de rmunration
Formations proposes
Taux de turnover
Indice de satisfaction
Performance socitale
Traitement des dchets

Respect des droits de lHomme
Aides aux pays en dveloppement
Groupe Eyrolles
La prise en compte de cette multiplicit amne laudit stratgique bnficier dune vision plus lointaine de lactivit de lentreprise. Il sagit l non
seulement de la prise en compte des comptes et des dividendes de lentreprise pour une anne, mais galement de la vrification de la mise en place
de conditions dune performance durable.
La politique de benchmarking et la vrification de la notion de performance
multiple constituent les principes essentiels de laudit stratgique. Lauditeur
doit, par son valuation de la planification stratgique, sassurer dune vision
long terme pour lentreprise. Mais cette planification doit tre communique et comprise par toutes les SBU. Cest l le deuxime principe essentiel
de mise en place dun audit stratgique.
Lalignement des dcisions stratgiques auprs de lorganisation,

des SBU et du capital humain
Lobjectif principal de cette concordance est de crer des synergies et de faciliter lintgration de la stratgie au sein des diffrentes activits. En effet,
chaque centre de dcision dans les diffrents pays procde lactualisation de
sa propre stratgie, donc ne cre pas les conditions dune coopration permettant des synergies. Ces processus de management fragments, trs frquents linternational, expliquent pourquoi beaucoup dentreprises
narrivent pas mettre en uvre leurs stratgies. Le rle de lauditeur consiste souligner les mcanismes de coordination existants et inexistants qui
permettraient la cration dune stratgie optimale (Mintzberg, 1982).
Afin de mettre en place un alignement de la stratgie, des indicateurs doivent
tre assigns au niveau de lorganisation, des SBU et du capital humain
(Kaplan et Norton, 2007). Ainsi, au niveau de lorganisation, la planification
stratgique doit se traduire en termes oprationnels pour tous les centres de
dcisions avec la cration dun tableau de bord prospectif, la fixation dobjectifs et lattribution des responsabilits.
Par ailleurs, au niveau des SBU, leur rle et celui du groupe doit tre align.
Autrement dit, il doit exister une dclinaison de la stratgie par SBU avec
laide des fonctions support et la prise en compte des partenaires extrieurs.
Enfin, sur le plan du capital humain, une sensibilisation lintrieur de
lentreprise est ncessaire, en attribuant une responsabilit stratgique
chaque individu.
Lauditeur doit sassurer que la stratgie est bien dcline selon ces trois
niveaux. Cette dclinaison correspond une volution rcente de la stratgie
qui ne prend pas simplement en compte le dterminisme de lenvironnement, mais admet que les parties prenantes associes lentreprise jouent un
rle dans ltablissement de la stratgie. Nanmoins, des risques subsistent et
renforcent la ncessit dune vision partage de la stratgie dans lentreprise
afin dviter lchec de sa mise en place.
Groupe Eyrolles
La stratgie, notamment internationale, est compose dun grand nombre

dactivits fort impact qui doivent tre coordonnes et auxquelles les ressources adquates doivent tre fournies du haut en bas du systme de management. La cohrence stratgique, concept introduit par Michael Porter,
dsigne la concordance interne des activits dexcution des composants de
la stratgie (Porter, 1996).
Les risques associs laudit

Laudit stratgique est trop souvent peru comme un systme de contrle et
de surveillance. Or, son rle consiste aussi participer garantir la prennit
de la performance de lentreprise par des prconisations. Aujourdhui encore,
des risques persistent en raison de la nature des indicateurs et dune mauvaise
communication. Il savre alors ncessaire daller plus loin dans la dmarche
daudit et de confronter les points de vue de tous les protagonistes de lentreprise afin de mettre en place une vision partage.
Des indicateurs trop contraignants ou non adapts lentreprise

Les indicateurs associs laudit stratgique constituent la plupart du temps

des indicateurs de cohrence de la stratgie mise en place. Il ne sagit pas de
juger les dcisions stratgiques, mais dtablir une concordance entre lentreprise, lenvironnement et les diffrents protagonistes, internes et externes.
Or, la rponse ces indicateurs est souvent donne par la direction gnrale
et ne correspond pas toujours ce qui est rellement en place dans lentreprise. En effet, chaque niveau de lorganisation correspond une perception
diffrente de la stratgie, qui nest parfois pas prise en compte par la direction. Il en rsulte des conflits conduisant une situation de statu quo dans la
mise en place de la stratgie. De plus, les prconisations issues de laudit ne
trouvent aucune application. Trois points cruciaux doivent tre surveills par
lauditeur dans la mise en place des indicateurs (Bennett et al., 2001).
La conscience du management
Groupe Eyrolles
Il importe dapprcier le rle intrinsque de lorganisation dans lamlioration de la performance. Beaucoup de dirigeants ont hrit du modle de leur
organisation et ne disposent ni du temps ni des ressources ncessaires pour
apprcier quel point il est fonctionnel. Sils se heurtent limpossibilit de
raliser leurs objectifs, il est exceptionnel quils recherchent dans lorganisation les interactions, les arrangements et les motivations qui sont la source de
la non-application de la stratgie.
La taille et la complexit
partir dune certaine taille, les entreprises internationales ne peuvent plus
garantir lhomognit de leurs dcisions dans les transactions. Pour maintenir
le contrle et tirer profit des spcialisations fonctionnelles, elles sont obliges
de morceler lorganisation. Pourtant, des frictions entre dpartements ou

SBU en rsultent frquemment en raison dune coordination imparfaite.
Lmiettement des informations
Ce lien entre stratgie et organisation prsente un risque important dans la

mise en place de la stratgie quil convient danalyser avant la mise en place
de laudit.
Une mauvaise communication externe et interne

Le modle de communication adopt par lentreprise constitue aussi un
risque majeur de non-comprhension ou de mauvaise comprhension de
laudit stratgique.
Vis--vis des actionnaires et des clients, laudit stratgique doit tre prsent
comme un vecteur de bonne sant de lentreprise, qui souhaite aller plus loin
dans son dveloppement. Il ne sagit en aucun cas dun contrle des dcisions de la direction pour y trouver des faiblesses. Bien au contraire, il doit
tre prsent comme un audit de progrs.
Et vis--vis des services internes et des diffrents SBU, laudit doit permettre
la communication et le partage des informations dans le but dune bonne
adaptation et coordination de la stratgie. Cette notion de communication
interne doit tre privilgie, car il sagit dobtenir un partage des connaissances chaque niveau de lentreprise et pas seulement une transmission
dinformations.
La ncessit dune vision partage

Lorganisation, les SBU et le capital humain ne doivent pas simplement saligner sur la stratgie prne par les dirigeants de lentreprise, mais en devenir
les lments cls. Cette vision, qui rpond la complexit de la stratgie
aujourdhui, amne reconsidrer le rle de lauditeur, qui doit repenser la
construction de son rfrentiel de cohrence avec lensemble des acteurs de
lentreprise. Il sagit dtablir une vision partage de la stratgie de lentre-
Groupe Eyrolles
Dans les entreprises internationales, les cadres suprieurs sont relativement

loigns des informations qui leur seraient ncessaires pour dcider. Des procdures spcifiques peuvent garantir un alignement entre les filiales et le sige
en dlgant certaines responsabilits. En revanche, ces solutions limitent souvent ladaptation de lorganisation dans son ensemble.
prise par tous les acteurs et de coordonner linformation et la connaissance

par rapport aux attentes de la direction gnrale.
La vision de lentrepreneur/dirigeant est rsolument stratgique, car tourne

vers lexterne et linterne de lentreprise. Mais sa manire de percevoir les
choses est influence par sa formation, son apprentissage et son exprience.
La faon de dcoder des informations et de les transmettre diffre selon les
individus. Lentrepreneur ne retient que celles en accord avec sa vision gnrale. Il en va de mme pour toutes les personnes travaillant dans lentreprise.
Le dfi est darriver faire partager la mme vision tout le capital humain
de lentreprise pour garantir lapplication de la stratgie. Autrement dit, le dfi
de laudit stratgique aujourdhui est danalyser la cohrence des dcisions
stratgiques tous les niveaux de lentreprise (Simons, 1995, Melville, 2003).
POUR CONCLURE
Laudit stratgique reprsente un outil puissant, car il permet lentreprise de se
donner les conditions dune bonne sant long terme. Il doit nanmoins prendre en
considration lvolution de la stratgie, qui est passe dun dterminisme trs
analytique une complexit pousse en termes de processus.
Lauditeur, dans sa dmarche danalyse, doit respecter certains principes : sassurer
dune performance ralisable et multiple et de lalignement de la stratgie avec
lorganisation, les SBU et le capital humain.
Groupe Eyrolles
Nanmoins, des risques persistent, lis la nature des indicateurs et la

communication de laudit envers ses partenaires. Lentreprise, pour conditionner sa
russite, doit donc mettre en place une vision partage.
Conclusion gnrale
es dernires annes, un environnement conomique instable, ponctu

de quelques scandales et de faillites retentissants (Enron, Worldcom,
Xerox, Parmalat), a plus que jamais mis laccent sur la gouvernance de
lentreprise. Lampleur et la brutalit des crises actuelles amnent donc les
actionnaires et les autres parties prenantes de lentreprise exiger des dirigeants quils sassurent que leur organisation est bien sous contrle et le
dmontrent.
Outre la publication de codes de bonne gouvernance et de rfrentiels de

contrle interne dans diffrents pays, la loi Sarbanes-Oxley de juillet 2002,
de porte internationale et ses quivalents au Canada, en France, en Suisse,
etc., renforcent les obligations en matire dinformation sur le contrle
interne. Ces dispositions nouvelles, visant fiabiliser la chane de valeur de
linformation financire, dans un contexte dinternationalisation croissante
des entreprises, engendrent deux implications majeures, qui ont retenu ici
notre attention.
Ainsi, elles poussent inluctablement sur le devant de la scne la fonction
daudit interne, en tant quorgane de gouvernance de lentreprise. Celle-ci,
jusque-l peu affirme dans de nombreuses firmes, monte aujourdhui en
puissance.
En outre, elles induisent une volution dans lorganisation de la fonction
daudit interne, dans son positionnement au sein de lentreprise, dans ses
relations avec les autres acteurs de lentreprise, ainsi que dans la mthodologie de laudit interne, son champ dapplication et sa gographie.
Groupe Eyrolles
Cet ouvrage a ainsi tent de faire ressortir les enjeux et les spcificits de
laudit interne dans un environnement international. Il soulve galement
des interrogations et des problmatiques qui interpellent tant les professionnels que la communaut scientifique.
En premier lieu, laudit interne sinsre dans le processus daudit global,
lequel inclut, outre les travaux de lauditeur interne, ceux de lauditeur statutaire. Aprs stre penchs sur les dterminants de qualit de laudit lgal, puis
306 Audit interne
Par ailleurs, les dimensions nouvelles de laudit interne en particulier sa

contribution au management stratgique, la responsabilit sociale de
lentreprise, au dveloppement durable, la promotion de lthique et la
prvention de la fraude - qui sont davantage dveloppes dans les grands
groupes internationaux, ouvrent la voie des visions plus sophistiques de
laudit interne. Ces volutions rendront possible la mobilisation de thories
plus nombreuses et dun cadre conceptuel plus riche, qui permettront de
mieux faire ressortir la valeur ajoute de laudit interne.
Enfin, selon Power (2005), la lgitimit des pratiques de gestion dpend
maintenant de leur auditabilit. Rendre les entreprises auditables, cest faire
en sorte que les processus de gestion puissent tre valus, par lentreprise
elle-mme et par des tiers indpendants. Par rapport cette affirmation, il
semble intressant de se poser la question de ladaptabilit des procdures
daudit interne aux pratiques de gestion existantes ou au contraire sur la
manire dont le processus daudit peut faonner les pratiques de gestion.
Groupe Eyrolles
sur ceux de la qualit de laudit interne, chercheurs et praticiens ne manqueront

pas dexaminer les facteurs explicatifs de la qualit du processus daudit global
(audit interne plus audit externe) en intgrant le rle majeur jou par le
comit daudit la suite de ladoption de la Loi Sarbanes-Oxley et de la rvision de la huitime directive europenne.
Groupe Eyrolles
Bibliographie gnrale
Adams, M.B., Agency Theory and the Internal Audit , Managerial Auditing Journal, 1994,
vol. 9, n 8, pp. 8-12.
Agrawal, A., Jaffe, J., Mandelker, G., The Post-Merger Performance of Acquiring Firms :
A Re-examination of an Anomaly , Journal of Finance, 1992, vol. 47, pp. 1605-1621.
Albouy, M., qui profitent les fusions-acquisitions ? Le regard du financier , Revue Franaise de Gestion, 2000, n 131, pp. 70-84.
Albrecht, W.S., Howe, K.R., Schueler, D.R., Stocks, K.D., Evaluating the Effectiveness of Internal Audit Departments, Altamonte Springs, Florida : the Institute of Internal Auditors, 1988.
Al-Twaijry, A.A.M., Brierley, J.A., Gwilliam, D.R., The Development of Internal Audit in
Saudi Arabia : an Institutional Theory Perspective , Critical Perspectives on Accounting, 2003,
vol. 14, pp. 507-531.
Asare, S.K., Davidson, R.A., Gramling, A.A., The Effect of Management Incentives and
Audit Committee Quality on Internal Auditors Planning Assessments and Decisions,
avril 2003, working paper, www.ssrn.com
Autissier, D., Nature des changements produits par une mission daudit interne , Comptabilit-Contrle-Audit, 2001, pp. 87-103.
Baker, G., Jensen, M., Murphy, K., Compensation and Incentives : Practice vs. Theory ,
The Journal of Finance, 1988, vol. 43, n 3, pp. 593-616.
Barabel, M., Meier, O., Biais cognitifs du dirigeant, consquences et facteurs de renforcement lors de fusions-acquisitions : synthse et illustrations , Finance-Contrle-Stratgie, 2002,
vol. 5, n 1, pp. 5-42.
Batsch, L., Le recentrage : une revue des approches financires , Finance-Contrle-Stratgie,
2003, vol. 6, n 2, pp. 43-65.
Bcour, J.-C., Bouquin, H., Audit oprationnel, conomica, 1991.
Bcour, J.-C., et Bouquin, H., Audit oprationnel - Efficacit, Efficience ou scurit, conomica,
2e d., 1996.
Bennett, J.W., Hedlund, S.B., Kocourek, P.K. et Persteiner, T.E., Organisation et
stratgie : le paradoxe de lalignement, LExpansion Management Review, mars 2001, pp. 614.
Berle, A., Means, G., The Modern Corporation and Private Property, McMillan, New York,
1932.
Berry, J., Acculturation as Varieties of Adaptation in Acculturation Theory, Models and
Some New Findings, A. Padilla,Westview Press, Boulder, Colorado, 1980.
Bertin, E., Jaussaud, J., Kanie, A., Audit lgal et gouvernance dentreprise : une comparaison France/Japon , Comptabilit, Contrle, Audit, numro spcial international, mai 2002.
Besson, B., et Possin, J.-C., Laudit de lintelligence stratgique, Dunod, 2e d., 2002.
Blair, M., Ownership and Control : Rethinking Corporate Governance for the Twenty-First Century,
Washington : Brookings, 1995.
Bouquin, H., Audit ; contrle Encyclopdie de gestion, conomica, 1997, pp. 200218 ; pp. 667-686, sous la direction de Simon,Y. et Joffre, P.
Bouquin, H., Audit, Encyclopdie de Gestion, sous la direction de Simon, Y. et Joffre, P., conomica, 2000, pp. 200-218.
Bouquin, H., Le contrle de gestion, PUF, 2001.
Braiotta, L., The Audit Committee Handbook, (3rd Edition), New York : John Wiley and Sons
Inc., 1999.
Brody, R.G., Lowe, D.J., The New Role of the Internal Auditor : Implications for Internal
Auditor Objectivity , International Journal of Auditing, 2000, vol. 4, pp. 169-176.
Broussal, D. Le whistleblowing la franaise : les prcautions prendre , Le Journal du Net
(www.journaldunet.com), 2005.
Buono, A., Bowditch, J., The Human Side of Mergers and Acquisitions : Managing Collisions
Between People, Cultures and Organizations, Jossey-Bass Publishers, San Francisco, 1989.
Caby, J., Hirigoyen, G., Cration de Valeur et Gouvernance de lEntreprise, 3e d., conomica,
2005.
Candau, P., Audit social,Vuibert, 1985.
Canto-Sperber, M., et Ogien, R., La philosophie morale, coll. Que Sais-Je ? , PUF, 2004.
Carcello, J.V., Hermanson, D.R., Raghunandan, K., Changes in Internal Auditing During
the Time of the Major US Accounting Scandals , International Journal of Auditing, 2005,
vol. 9, pp. 117-127.
Carlevaris, A., et Spitz, B. Whistleblowing : quand un rapport propose dlargir le
domaine de lalerte professionnelle, la CNIL siffle le hors-jeu , Juriscom.net, 25 avril 2007
(www.juriscom.net).
Cartwright, S., Cooper, C.L., The Role of Culture Compatibility in Successful Organizational Marriage , Academy of Management Executive, 1994, vol. 72, n 2, pp. 57-69.
Casta, J.-F., Mikol, A., Vingt ans daudit : de la rvision des comptes aux activits
multiservices , Comptabilit Contrle Audit, numro spcial Les vingt ans de lAFC
mai 1999, pp. 107-121.
Cercle dthique des affaires Pour un whistleblowing la franaise , Revue Banque Stratgie, n 228, juillet-aut 2005, pp. 25-26.
Chaput,Y. Le commissaire aux comptes, partenaire de lentreprise, Presses Universitaires de Sciences Po, Creda, 1999.
Charreaux, G., Vers une thorie du gouvernement des entreprises , in Le gouvernement
dentreprise : Corporate Governance, thories et faits, Grard Charreaux diteur, conomica,
1997.
Charreaux, G., Les thories de la gouvernance : de la gouvernance des entreprises la
gouvernance des systmes nationaux , Cahiers du FARGO, n 1040101, Universit de
Bourgogne, dcembre 2004.
Clark, M., Gibbs, T., Schroeder, R., CPAs Judge Internal Audit Department Objectivity ,
Management Accounting, February 1981, pp. 40-43.
CNIL, Document dorientation adopt par la Commission le 10 novembre 2005 pour la
mise en uvre de dispositifs dalerte professionnelle conformes la loi du 6 janvier 1978
modifie en aot 2004, relative linformatique, aux fichiers et aux liberts , 2005.
CNIL Alertes professionnelles (whistleblowing), le groupe des autorits europennes de
protection des donnes (G29) sur la mme ligne que la CNIL (www.cnil.fr), 2006.
Groupe Eyrolles
308 Audit interne
Groupe Eyrolles
Bibliographie gnrale 309
Coase, R.H., The Nature of the Firm , Economica, vol. 4, November 1937, pp.331-351
ou La nature de la firme , Revue Franaise dconomie, 1987, vol. 2, n 1, pp. 133-163.
Committee of Sponsoring Organisations of the Treadway Commission (COSO), Internal
Control Integrated Framework, AICPA, New York, 1992.
Couret, A., Igalens, J., LAudit social, coll. Que-sais-je ? , PUF, 1988.
Courrent, J.-M. thique et petite entreprise , Revue Franaise de Gestion, 2002, pp. 139152.
Datta, D., Puia, G., Cross-Border Acquisition : an Examination of the Influence of Relatedness and Cultural Fit on Shareholder Value Creation in US Acquiring Firms , Management International Review, 1995, vol. 35, n 4, pp. 337-359.
De Angelo, L., Auditor Independance, Low Balling, and Disclosure Regulation , Journal
of Accounting and Economics, 1981a, n 3, pp. 113-127.
De Angelo, L., Auditor Size and Audit Quality , Journal of Accounting and Economics,
1981b, vol. 3, pp. 183-199.
Djean, F., Contribution ltude de linvestissement socialement responsable : les stratgies de lgitimation des socits en gestion, thse de doctorat, Universit Paris-Dauphine, 2004.
Delavalle, E., La direction par les objectifs, et aprs ? , LExpansion Management Review,
juin 2005, pp. 83-91.
Depret, M.H., Hamdouch, A., Gouvernement dentreprise et performance , in Gouvernement dentreprise. Enjeux managriaux, comptables et financiers, De Boeck, 2005, pp. 39-79.
Dezoort, F.T., Houston, R.W., Peters, M.F., The Impact of Internal Auditor Compensation and Role on External Auditors Planning Judgments and Decisions , Contemporary
Accounting Research, vol. 18, n 2, Summer 2001, pp. 257-281.
Dickie, R., Michel, A., Shaked, I., The Winners Curse in the Merger Game , Journal of
General Management, 1987, vol. 12, n 3, pp. 32-51.
Directive 2006/43/CE dite 8me Directive du 17 mai 2006, Journal Officiel de lUnion
europenne, 9 juin 2006.
Dosi, G., Sources, Procedures and Microeconomics Effects of Innovation , Journal of Economic Literature, 1988, vol. 26, n 3, pp. 1120-1171.
Durieux, F., Girod-Sville, M., Perret,V., De la planification stratgique la complexit ,
LExpansion Management Review, 2000, pp. 82-92.
Ebondo, E., Pig, B., Larbitrage entreprise/march : le rle du contrle interne, outil de
rduction des cots de transaction , Comptabilit Contrle Audit, tome 8, vol. 2, novembredcembre 2002, pp. 51- 67.
Ebondo Wa Mandzila, E., La gouvernance de lentreprise. Une approche par laudit et le contrle
interne, LHarmattan, 2006.
ECIIA, Internal Auditing in Europe, Position paper : www.eciia.org, February 2005.
Egg, G., Le social dans la grande marmite de laudit , Actes du Congrs de lIAS, IAE
de Lille, septembre 2005.
Fama, E., Jensen, M., Separation of Ownership and Control , Journal of Law and Economics, 1983, vol. 26, pp. 301-326.
Felix, W.L., Gramling, A.A., Maletta, M.J., The Contribution of Internal Audit as a Determinant of External Audit Fees and Factors Influencing this Contribution , Journal of Accounting Research, 2001, vol. 39, n 3, pp. 513-534.
Feron, M., Comment passer un audit social de troisime gnration ? , Actes du
Congrs de lIAS, IAE de Lille, septembre 2005.
Feujo, I., Guide des audits, Afnor, 2004.

Finet, A., Pourquoi le gouvernement dentreprise ? Introduction et mise en place dun
cadre thorique danalyse , in Gouvernement dentreprise. Enjeux managriaux, comptables et
financiers, De Boeck, 2005, pp. 15-38.
Finkelstein, S., Haleblian, J., Understanding Acquisition Performance : The Role of Transfer Effects , Organization Science, 2002, vol. 13, n 1, pp. 36-47.
Franks, J., Harris, R., Titman, S., The Post-Merger Share-Price Performance of Acquiring
Firms , Journal of Financial Economics, 1991, vol. 29, n 1, pp. 81-96.
Goodwin, J., The Relationship Between the Audit Committee and the Internal Audit
Function : Evidence from Australia and New Zealand , International Journal of Auditing,
2003, vol. 7, pp. 263-278.
Goodwin, J., Yeo, T.Y., Two Factors Affecting Internal Audit Independence and
Objectivity : Evidence from Singapore , International Journal of Auditing, 2001, vol. 5,
pp. 107-125.
Gramling, A.A., et Myers, P. M., Internal Auditings Role in ERM , Internal Auditor,
April 2006, pp. 52- 62.
Gramling, A., Maletta, M., Schneider, A., Church, B., The Role of the Internal Audit
Function in Corporate Governance : A Synthesis of the Extant Internal Auditing Literature
and Directions for Future Research , Journal of Accounting Literature, 2004, vol. 23, pp. 194244.
Guyon, Y. La responsabilit civile des commissaires aux comptes , Revue Franaise de
Comptabilit, septembre 1998, pp. 33-48.
Haffen F., Le contrle des filiales dans la stratgie de groupe, ditions dOrganisation, 1999.
Haleblian, J., Finkelstein, S., The Influence of Organizational Acquisition Experience on
Acquisition Performance : A Behavioral Learning Perspective , Administrative Science Quarterly, 1999, vol. 44, n 1, pp. 29-56.
Hapeslagh, P., Jemison, D., Managing Acquisitions : Creating Value through Corporate Renewal,
The Free Press, Oxford, 1991.
Haron, H., Chambers, A., Ramsi, R., Ismail, I., The Reliance of External Auditors on
Internal Auditors , Managerial Auditing Journal, 2004, vol. 19, n 9, pp. 1148-1159.
Harrell, A., Taylor, M., Chewing, E., An Examination of Managements Ability to Bias the
Professional Objectivity of Internal Auditors , Accounting, Organizations and Society, 1989,
vol. 14, pp. 259-269.
Hartmann, L., Geismar, R., Leroy, F., Fusions-acquisitions : les dfis de lintgration, Institut de
lEntreprise, Paris, 2003.
Hill, C.W.L., Jones, T.M., Stakeholder-Agency Theory , Journal of Management Studies,
1992, vol. 29, n 2, pp. 131-154.
Hitt, M., Harrison, J., Ireland, R.D., Mergers and Acquisitions A Guide to Creating Value for
Stakeholders, Oxford University Press, Oxford, 2001.
Hofstede, G.,Vivre dans un monde multiculturel, ditions dOrganisation, 1994.
IfAcI, Les normes pour la pratique professionnelle de laudit interne, IfAcI, 2002 ; 2004.
IfAcI, Laudit interne vers une collaboration renforce avec ses partenaires externes , site
Internet de lIfAcI (www.ifaci.com), 30 janvier 2002.
Igalens J., Audit des Ressources Humaines, 3e d., ditions Liaisons, 2000.
IIA, Definition of Internal Auditing, Altamonte Springs, Florida : the Institute of Internal
Auditors, 1999.
Groupe Eyrolles
310 Audit interne
Groupe Eyrolles
IIA, Standards for the Professional Practice of Internal Audit, Altamonte Springs, Florida : the Institute of Internal Auditors, 2000, 2002.
IIA, Internal Auditings Role in Sections 302 and 404 of the U.S. Sarbanes-Oxley Act of
2002, www.theiia.org, May 2004.
IIA, Organizational Governance : Guidance for Internal Auditors, Position Paper :
www.theiia.org, July 2006.
Internal Control Working Party, Guidance for Directors on the Combined Code, (The Turnbull
Report), ICAEW, London, 1999.
Iribarne (d), P., La logique de lhonneur : gestion des entreprises et traditions nationales, Le Seuil,
1993.
Isaac, H. Les codes de dontologie : outil de gestion de la qualit dans les services
professionnels ,Thse, Universit Paris IX Dauphine, 1996.
ISEOR, Laudit social au service du management des ressources humaines, conomica, 1994.
Jemison, D., Sitkin, S., Corporate Acquisitions : A Process Perspective , Academy of Management Review, 1986, vol. 11, n 1, pp. 145-163.
Jensen, M.C., Meckling, W.H., Theory of the Firm : Managerial Behavior, Agency Costs
and Ownership Structure , Journal of Financial Economics, October 1976, pp. 305-360.
Jensen, M., Takeovers : their Causes and Consequences , Journal of Economic Perspectives,
1986, vol. 2, pp. 21-48.
Jobart, J.-P., Navatte, P., Raimbourg, P., Finance, Dalloz, 1994.
Kalbers, L.P., Audit Committees and Internal Auditors , Internal Auditor, vol. 49, n 6,
December 1992, pp. 37-44.
Kaplan, R.S., et Norton, D.P., The Office of Strategy Management , Harvard Business
Review, octobre 2005.
Kaplan, R.S., Norton, D.P., Lalignement stratgique, ditions dOrganisation, 2007.
Kerorguen (de),Y., Le whistleblowing : un cas de conscience , Article 1 680, www.placepublique.fr, 2005.
Kiessling, T., Harvey, M., The Human Resource Management Issues during an
Acquisition : the Target Firms Top Management Team and Key Managers , International
Journal of Human Resource Management, 2006, vol. 17, n 7, pp. 1307-1320.
Koenig, G., Management stratgique : paradoxes, interactions et apprentissages, Nathan, 1996.
Krishnamoorthy, G., A Multistage Approach to External Auditors Evaluation of the Internal Audit Function , Auditing : a Journal of Practice and Theory, 2002, vol. 21, n 1, pp. 95121.
Lamarque, E., Management de la Banque : risque, relation client, organisation, Pearson, 2005.
Lamarque, E., Gestion Bancaire, Pearson & E-node, 2003.
Lazonick, W, OSullivan, M., Perspectives on Corporate Governance, Innovation and
Economic Performance , CGEP, European Institute of Business Administration, Insead,
juin 2000.
Lemant, O., (dir.) La direction dun service daudit interne , IfAcI, 1995.
Loi de Scurit Financire, n 2003-706 du 1er aot 2003, Journal Officiel, 2 aot 2003.
Loi Godfrain relative la fraude informatique, n 88-19 du 5 janvier 1988, Journal Officiel,
6 janvier 1988.
Loi sur les Nouvelles Rgulations conomiques n 2001-420 du 15 mai 2001, Journal Officiel, 16 mai 2001.
Louart, P., Beaucourt, C., Logiques daudit et rationalits sous-jacentes , Actes du

Congrs de lIAS, IAE de Lille, septembre 2005.
Loughram, T., Vijh, A., Do Long-Term Shareholders Benefit from Corporate
Acquisitions? , Journal of Finance, 1997, vol. 52, n 5, pp. 1765-1790.
Maders, H.-P., Masselin, J.-L., Contrle interne des risques, ditions dOrganisation, 2004.
Markides, C., Oyon, D., International Acquisitions : Do they Create Value for
Shareholders ? , European Management Journal, 1998, vol. 16, n 2, pp. 125-135.
McHugh, J., Raghunandan, K., Hiring and Firing the Chief Internal Auditor , Internal
Auditor, vol. 51, n 4, August 1994, pp. 34-40.
Melville, R., The Contribution Internal Auditors Make to Strategic Management , International Journal of Auditing, 2003, pp. 209-222.
Mercier, S., La formalisation de lthique : un outil stratgique pertinent pour
lentreprise , Finance Contrle Stratgie, vol. 3, n 3, septembre 2000, pp. 101-123.
Mercier, S., Institutionnaliser lthique dans les grandes entreprises franaises , Revue
Franaise de Gestion, novembre-dcembre 2000, pp. 62-69.
Mintzberg, H., Structure et dynamique des organisations, ditions dOrganisation, 1982.
Morck, R., Shleifer, A., et Vishny, R., Do Managerial Objectives Drive Bad
Acquisitions? , Journal of Finance, 1990, vol. 45, n 1, pp. 31-48.
Morrill, C., Morrill, J., Internal Auditors and the External Audit : a Transaction Cost
Perspective , Managerial Auditing Research, 2003, vol. 18, n 6, pp. 490-504.
Naaima, M., Laudit stratgique : des auditeurs de haut niveau face des dirigeants
ouverts , revue Audit interne (IfAcI), n 170, juin 2004, pp. 32-34.
Nahavandi, A., Malekzadeh, A., Acculturation in Mergers and Acquisitions , Academy of
Management Review, 1988, vol. 13, n 1, pp. 79-90.
Pallas,V., Le contrle interne bancaire est-il toujours pertinent ? , Finance Contrle Stratgie, septembre 2006.
Paquerot, M., Lenracinement des dirigeants et ses effets , Revue Franaise de Gestion, 1996,
n 111, pp. 212-225.
Pastr, O., Questions de mthodes et enjeux thoriques , Revue dconomie Financire,
n 31, hiver 1994.
Pcherot, B., La performance sur longue priode des acqureurs franais , Banques et marchs, 2000, n 46, pp. 31-39.
Pelissier-Tanon, A. thique et responsabilit professionnelle , Revue Franaise de Gestion,
novembre-dcembre 2001, pp. 109-115.
Pig, B., Audit et Contrle interne, ditions Management et Socit, 2001.
Piot, C., Qualit de laudit, information financire et gouvernance : enjeux et apports ,
in Gouvernement dentreprise. Enjeux managriaux, comptables et financiers, De Boeck, 2005,
pp. 155-229.
Plumlee, D., The Standard of Objectivity for Internal Auditors : Memory and Bias
Effects , Journal of Accounting Research, 1985, vol. 23, pp. 683-699.
Pochet, C., Audit dacquisition et expertise indpendante dans les oprations de fusionsacquisitions : le cas Arospatiale-Matra , Finance Contrle Stratgie, 2000, vol. 3, n 3,
pp. 181-209.
Ponemon, L., Internal Auditor Objectivity and the Disclosure of Sensitive Issues , Internal
Auditing, Summer 1991, pp. 36-43.
Groupe Eyrolles
312 Audit interne
Groupe Eyrolles
Porter M., What is Strategy? , Harvard Business Review, November-December 1996,

pp. 6-18.
Porter M., Lavantage concurrentiel, Interditions, 1986.
Power M., La socit de laudit, La Dcouverte, 2005.
Prat dit Hauret, C., La rvlation des faits dlictueux par les commissaires aux comptes :
une dcision contextuelle , Revue Sciences de Gestion, 2004, n 42, pp. 69-87.
Prat dit Hauret, C., Comit daudit et gouvernance des socits cotes : une analyse comparative tats-Unis/France ,Working Paper, 2005.
Raghunandan, K., Read, W.J., et Rama, D.V., Audit Committee Composition, Grey
Directors and Interaction with Internal Auditing , Accounting Horizons, June 2001,
pp. 105-118.
Ramonet, I., Le scandale Parmalat , fvrier 2004, Le monde Diplomatique, n 599.
Rau, P.,Vermaelen, T., Glamour,Value and the Post-acquisition Performance of Acquiring
Firms , Journal of Financial Economics, 1998, vol. 49, n 2, pp. 223-253.
Renard,J.,Thorie et pratique de laudit interne , 6e d., ditions dOrganisation, 2006.
Renard, J.,Thorie et pratique de laudit interne, 5e d., ditions dOrganisation, 2005.
Ricur, P., Soi-mme comme un autre, Le Seuil, 1990.
Ridley, J., Chambers, A., Leading Edge Internal Auditing, ICSA, London, 1998.
Rigby, D., Le palmars 2005 des outils de management , LExpansion Management Review,
2005, pp. 43-52.
Roll, R., The Hubris Hypothesis of Corporate Takeovers , Journal of Business, 1986,
vol. 59, n 2, pp. 197-216.
Rovit, S., Lemire, C., Your Best M&A Strategy , Harvard Business Review, 2003, vol. 81,
3, pp. 16-17.
Sarbanes-Oxley Act (Public Company Accounting Reform and Investor Protection Act),
Pub. L. N 107-204 116 Stat. 745, 30th July 2002.
Scarbrough, D.P., Rama, D.V., Raghunandan, K., Audit Committee Composition and
Interaction with Internal Auditing , Accounting Horizons, vol. 12, n 1, March 1998, pp. 5162.
Schick, P. Mmento daudit interne, Dunod, 2007.
Selim, G.M., Sudarsanam, S., Lavine, M., The Role of Internal Auditors in Mergers,
Acquisitions and Divestitures : An International Study , International Journal of Auditing,
2003, vol. 7, pp. 223-245.
Shleifer, A., Vishny, R., Management Entrenchment : the Case of Manager Specific
Investments , Journal of Financial Economics, 1989, vol. 25, n 1, pp. 123-139.
Shleifer, A.,Vishny, R., A Survey of Corporate Governance , The Journal of Finance, 1997,
vol. 52, n 2, pp. 737-783.
Sicard, D., Lanalyse stratgique, mal aime des dirigeants , LExpansion Management
Review, 1998, pp. 104-111.
Simons R., Levers of Control : How Managers Use Innovative Control System to Drive Strategic
Renewal, Harvard Business School Press, 1995.
Stigler, G.T., Monopoly and Oligopoly by Merger , American Economic Review, 1950,
vol. 40, pp. 23-34.
Szylar, C., Les fondements de laudit social dans la perspective de laudit de la responsabilit sociales des entreprises , Actes du Congrs de lIAS, IAE de Lille, septembre 2005.
Thitart, RA., La stratgie dentreprise, McGraw Hill, 1990.

Van Cutsem, R., Organisation et valuation du contrle interne, ditions comptables et Productivit, 1999.
Van Hoorebeke, D., Reconsidration dun des fondements de laudit social : performance
sociale et conomique, une vision au niveau individuel , Actes du Congrs de lIAS, IAE de
Lille, septembre 2005.
Vatterville, E., Joras, M., Audit social et dveloppement durable , Actes du Congrs de
lIAS, pp. 355 367, 4, 5 et 6 mai 2000, Marrakech, Maroc.
Verschoor, C.C., Internal Auditing Interactions with the Audit Committee , Internal
Auditing, vol. 7, n 4, Spring 1992, pp. 20-23.
Voynnet-Fourboul, C., Quelles reprsentations de laudit social ? , Actes du Congrs de
lIAS, IAE de Lille, septembre 2005.
Weber,Y., Menipaz, E., Measuring Cultural Fit in Mergers and Acquisitions , International
Journal of Business Performance Management, 2003, vol. 5, n 1, pp. 54-72.
Williamson, O. E.,The Economic Institutions of Capitalism,The Free Press, New York, 1985.
Williamson, O. E., Strategizing, Economizing and Economic Organization , Strategic
Management Journal, 1991, vol. 12, pp. 75-94.
Zain, M.M., Subramaniam, N., Stewart, J., Internal Auditors Assessment of their Contribution to Financial Statement Audit : the Relation with Audit Committee and Internal
Audit Function Characteristics , International Journal of Auditing, 2006, vol. 10, pp. 1-18.
Groupe Eyrolles
314 Audit interne
Prsentation des auteurs

Valrie Berche est Directrice de lAudit Groupe Franaise des Jeux depuis 2006.
Diplme de lcole Suprieure Libre des Sciences Commerciales Appliques
(ESLSCA) Paris, elle a pass trois ans au sein du cabinet daudit
Price Waterhouse Coopers, o elle a ralis des missions de commissariat aux
comptes et daudit oprationnel, essentiellement en milieu industriel.
De formation marketing et gestion, Christian Bertheuil est consultant. Il possde

une double exprience de lentreprise au sein de socits industrielles et de services,
et de la formation en milieu professionnel et universitaire. Tout au long de son parcours professionnel, il a conduit et accompagn des changements, initi des volutions comportementales et accompagn des volutions personnelles. Il a
notamment cr et mis en uvre pendant cinq ans la fonction Audit Interne dans
des filiales dun grand groupe agro-alimentaire franais.
Groupe Eyrolles
Docteur en sciences de gestion, lisabeth Bertin est Matre de Confrences en

sciences de gestion lInstitut dAdministration des Entreprises (IAE
Universit Franois-Rabelais) de Tours. Elle assure la responsabilit du Master 2
Audit des Entreprises Internationales, quelle a cr, et y enseigne notamment le
diagnostic financier des comptes consolids IAS-IFRS, lthique et la psychologie
de laudit. Ses travaux de recherche portent sur laudit externe et laudit interne,
plus particulirement sur le comportement daudit, linternationalisation de laudit
et la formation laudit. Elle anime laxe de recherche Gouvernance et audit
interne au sein du Centre dtudes et de Recherches en MAnagement de Touraine (CERMAT).
Docteur en sciences de gestion, Patricia Coutelle-Brillet est Matre de Confrences en sciences de gestion lIAE (Universit Franois-Rabelais) de Tours. Elle
est responsable du Master Administration des Entreprises (ex-DESS CAAE) depuis
2001. Ses recherches portent dans le domaine du marketing sur limpact des stratgies de prix des distributeurs et sur limage prix des entreprises. Elle a men ce
titre de nombreux audits des stratgies marketing des entreprises. Elle enseigne la
stratgie, la stratgie marketing, les tudes marketing et laudit stratgique et marketing. Ses activits lont conduite effectuer des communications et des sjours de
recherche ltranger. Elle est aussi membre du Conseil National des Universits
depuis 2003 et membre du jury dagrgation interne. Elle est lauteur douvrages et
darticles dans le domaine de la stratgie et du marketing.
Eustache Ebondo wa Mandzila est Professeur en audit, contrle interne, contrle de gestion et gouvernance des organisations Euromed Marseille cole de
Management et aux Universits dAix-Marseille et lcole Suprieure Algrienne
316 Audit interne
Diplme dune cole suprieure de commerce, Florence Fradin a t auditrice

interne au sein du Groupe La Poste puis responsable de la Recherche lIfAcI. Elle
a particip au Groupe de Place, cr linitiative de lAutorit des Marchs Financiers pour laborer un cadre de rfrence de Contrle Interne Franais. Elle est
actuellement, responsable Rfrentiels dAudit Interne et Qualit au sein de lInspection Gnrale de BNPParibas.
Docteur en sciences de gestion, Christophe Godowski est Matre de Confrences lIAE (Universit Franois-Rabelais) de Tours. Responsable du Master 2
Ingnierie et Politique Financires au sein de cet IAE, il est charg denseignements en finance dentreprise et en finance bancaire et notamment du cours de
gouvernance au sein du Master 2 Audit des entreprises internationales. Ses travaux
de recherche portent essentiellement sur la gouvernance bancaire.
ric Lamarque est Professeur agrg en sciences de gestion lUniversit Montesquieu Bordeaux IV et directeur du groupe de recherche sur la gestion et la gouvernance des banques. Il est lauteur de plusieurs ouvrages et articles sur la gestion,
la stratgie et le management des banques. Ses derniers travaux portent sur lintgration de la dmarche de contrle dans le dispositif organisationnel et les processus
des tablissements financiers. Il tudie galement la ncessaire volution du management de ces dispositifs. Il intervient actuellement auprs de plusieurs tablissements financiers sur lintgration du contrle des risques dans la dmarche
commerciale.
Francis Lamarque, ancien cadre dirigeant du Groupe Crdit Agricole, est, depuis
2006, consultant senior associ de Lamarque Associs Consulting, en charge de
missions de conseil et daudit auprs des principaux groupes bancaires mutualistes.
En capitalisant sur vingt-cinq ans dexprience de direction gnrale de banques
rgionales il sest spcialis dans la conduite de grands projets de migration de systme dinformation, de fusion, de restructuration et de redressement de filiales du
groupe, notamment comme administrateur directeur gnral de la Banque Franaise Commerciale Antilles-Guyane et directeur gnral de la Caisse Rgionale de
Crdit Agricole de Corse. Cest dans ces zones sensibles en matire de dlinquance
financire, sous haute surveillance des rgulateurs, quil a conduit des missions
approfondies daudit prventif sur le contrle interne, la lutte contre le blanchiment
Groupe Eyrolles
des Affaires (MBA) Alger. Docteur en sciences de gestion, docteur troisime cycle
en conomie et droit des transports ariens, DESS Finance et Mastre spcialis en
Audit interne et contrle de gestion, il a t auditeur interne dans une banque, consultant dans un cabinet daudit, directeur administratif et financier dans une entreprise de services. Il est lauteur de plusieurs articles et dun ouvrage sur laudit, le
contrle interne et la gouvernance dentreprise. Ses recherches portent sur les
aspects internationaux de laudit, la qualit de laudit, lefficacit des comits spcialiss, la responsabilit sociale, environnementale et les modes de gouvernance.
Prsentation des auteurs 317
dargent et la fonction dontologie. Il est charg de cours dans plusieurs universits

franaises (Paris Dauphine,Tours, Bordeaux IV) et trangres (Maroc, Liban).
Christine Pochet est Professeur agrg des Universits en sciences de gestion. Elle
enseigne le contrle de gestion et la finance dentreprise lIAE (Universit Paris I
Panthon-Sorbonne) de Paris. Elle intervient galement au sein dautres tablissements en France et ltranger. Ses travaux de recherche portent sur le contrle
organisationnel, la gouvernance des entreprises, notamment dans le contexte des
fusions acquisitions, o elle sest intresse au rle de lauditeur externe (audit
dacquisition, commissariat la fusion) et la rgulation des professions financires.
Nol Pons est charg de mission au Service central de prvention de la corruption. Il

est auditeur interne certifi (CIA) et assure des formations sur la prvention et le contrle des fraudes, du blanchiment et de la corruption auprs de diverses administrations franaises et dans des universits (Strasbourg, Aix, Tours, Poitiers, Rouen,
Paris V) et coles de commerce. Il a conu avec Franois Vidaux une formation la
prvention et la recherche des fraudes et en assure la prestation au travers de lIfAcI.
Il a particip comme formateur des cours donns lONU en matire de corruption, crit de nombreux articles sur la fraude et publi des ouvrages sur ce thme.
Christian Prat dit Hauret est Professeur agrg des Universits en sciences de
gestion et diplm dexpertise comptable. Il enseigne la comptabilit financire et
laudit lUniversit Montesquieu Bordeaux IV. Ses travaux de recherche portent
sur laudit lgal et plus particulirement sur lthique en audit. Il est lauteur de
nombreuses publications et communications sur ces thmatiques.
Groupe Eyrolles
Alessandro Reitelli est titulaire dun DEA en sciences conomiques de lUniversit de Rome. Il a t manager expriment chez feu Arthur Andersen, o il a pass
huit annes, dont les quatre dernires essentiellement consacres des missions de
fusions-acquisitions en France et ltranger, notamment en Italie, pour le compte
de grands groupes ou dinvestisseurs franais (Vivendi, Eiffage, Faurecia, LVMH,
Alstom, France Tlcom, Technip, Paribas Affaires Industrielles, Europ@web,
Galileo, etc.). Il a fond en 2000 une service line ddie lintermdiation dans le
secteur dInternet (prparation de business plan et recherche de fonds pour les startups ou due diligence dacquisition pour les investisseurs). Il a rejoint le groupe PPR
en fvrier 2002 pour crer la direction de laudit corporate la demande du prsident
du directoire. En 2006, Il a t nomm directeur gnral adjoint dune filiale du
groupe CFAO (filiale de PPR), dans le secteur des nouvelles technologies.
Docteur en sciences de gestion, Julie Tixier est Matre de Confrences en sciences
de gestion lIAE (Universit Franois-Rabelais) de Tours. Elle est titulaire dun
diplme de troisime cycle en audit interne et co-responsable du Master 2 Management de la qualit. Elle enseigne notamment laudit social et le management stratgique en contexte international au sein du Master Audit des entreprises
internationales. Ses recherches portent sur ltude des ples de comptitivit, des
relations filiales/maison mre au sein des firmes multinationales, des systmes
318 Audit interne
Docteur dtat en droit public et diplm MBA/IAE de Paris, Louis Vaurs est
dlgu gnral de lIfAcI depuis 2001, aprs avoir t pendant vingt ans inspecteur
gnral et dontologue dune banque immobilire patrimoniale. Il a t prsident
de lIfAcI de 1986 1988 et a fond en 1988 lUnion Francophone de lAudit
Interne (UFAI). Il a exerc diffrentes responsabilits lIIA et t vice-prsident
en 1997 et 1998 de la Confdration europenne des instituts daudit interne
(ECIIA). Il est lauteur de nombreux articles sur laudit interne, publis principalement dans la Revue franaise de laudit interne. Louis Vaurs sintresse depuis toujours au contrle interne, aux risques et la gouvernance et est lun des plus
minents spcialistes de ces questions en France. Il a t rapporteur du Groupe de
Place charg par lAutorit des Marchs Financiers, en 2005, dlaborer un cadre de
rfrence du contrle interne pour les socits franaises cotes.
Aprs vingt-sept ans de pratique de laudit en tant que directeur de laudit interne
dans deux trs grandes entreprises, Franois Vidaux est aujourdhui consultant
auprs dExos. De formation juridique, diplm de lInstitut de Prparation aux
Affaires (module informatique) et dexpertise comptable, il a galement pratiqu
laudit externe. Il est lauteur de plusieurs ouvrages dans divers domaines, parmi lesquels linformatique, les ressources humaines et la fraude. Il a galement dvelopp
ou particip au dveloppement de logiciels comptables et daudit.
Groupe Eyrolles
dinformation ressources humaines (SIRH) et des middle managers de la fonction

ressources humaines. Elle est lauteur de nombreuses publications et communications sur ces thmatiques.
Index
adaptabilit 134
AMF 54, 55, 95
AMRAE 55
analyse stratgique 290
audit
centralis 49
defficacit 276
de conformit 275
dcentralis 49
interne 305
oprationnel 269
social 269, 283, 285
stratgique 277, 289, 303
B
backdoor 261, 264
Ble 2 96
bilan social 271
blanchiment 239
bombe logique 263
Groupe Eyrolles
C
cadres financiers 90
captage de moniteur 259
CDR AMF 55, 56, 57, 58,
60, 61, 63, 66, 67, 68, 73,
74, 75, 76, 77, 79, 81, 82,
83, 86, 88, 89, 90, 91, 92,
111
chantage 239
cheval de Troie 263
CNIL 190, 193
COCO 12, 54, 55, 56, 57,
58, 59, 60, 62, 64, 65, 67,
70, 72, 73, 75, 77, 78, 80,
81, 84, 88, 90, 91
comit daudit 25, 33, 48,

68, 89, 154, 156, 158,
159, 182, 183
commissaire aux comptes
17, 100, 189
communication 115, 116,
302
difficults 117
crite 116, 118
orale 116, 124
compatibilit des missions
150
comportement 129
conduite dune mission 38
conseil dadministration 33,
48, 57, 68, 88, 147, 159
conseil de surveillance 33
contrle interne 56, 62, 86,
96
contrle interne bancaire
95
coopration audit interne/
audit externe 162, 172,
184
corporate governance 137,
138, 150, 152, 162, 305
COSO 12, 21, 33, 53, 54,
56, 57, 58, 59, 60, 62, 64,
65, 66, 67, 68, 69, 71, 73,
74, 75, 76, 78, 79, 81, 82,
86, 88, 89, 90, 91, 92, 93,
100, 103, 108, 186
courant
cognitif 138, 145
disciplinaire 138
CRBF 95
CRBF 97-02 96, 100, 102,
103, 106, 109, 111, 112
cyberfraude 253, 258
D
dbordement de tampon
262
dcouplage 260
DIC 249
due diligence 209
E
ECIIA 35, 51
environnement de contrle
63
ERC 249
thique 185, 186, 195
valuations liminaires 222
F
fichier core 259
firewall 264
flooding 261
FRAP 43
fraude
des employs 231
des filiales 221
des managers 229
dtection 253
gnrique 226
informatique 253
informatise 253
par carte bancaire 265
prvention 253
sur les systmes dinformation 243
fusions-acquisitions 197,
217
auditeur interne 207
opportunits 199
risques 203
vagues 199
320 Audit interne
hacker 259
hoax 264
huitime directive europenne 11, 154, 156
mthodologie 35, 38, 120,

279
montages frauduleux 226,
228, 229, 234, 236, 240
MPA 35
128, 163, 169, 170, 182,

221, 223, 253
ressources humaines 271,
277
risque 50, 244, 274, 301
pays 239
rfrentiel 41
RSE 272, 285, 287, 288
IAASB 170
IFA 55
IFAC 172, 176
IfAcI 20, 51, 55, 111, 149,
179, 186
IIA 20, 35, 46, 51, 55, 92,
99, 116, 149, 150, 151,
171, 172
indicateurs 298, 301
informatique 243
ingnierie sociale 265
normes
2 050 173, 177
internationales 287
ISA 610 170, 173, 176,
179
professionnelles 172
langue trangre 123, 129

lettre de mission 39
logiciel dattaque 265
loi de scurit financire
25, 47, 54, 56, 161, 165
loi NRE 140
loi Sarbanes-Oxley 11, 13,
33, 47, 53, 96, 102, 103,
106, 109, 112, 140, 151,
154, 161, 162, 164, 169,
171, 182, 184, 185, 187,
191, 305
PCAOB 53, 164

performance durable 295
planification
stratgique
292
processus
dachats 231
de salaires 235
de trsorerie 237
de ventes 233
tableau des risques 41

taille de lentreprise 46
TCP-SYN Flooding 261
thorie
de lagence 24
des cots de transaction
23
Turnbull 12, 54, 55, 56, 57,
59, 62, 65, 66, 67, 68, 70,
73, 75, 76, 78, 80, 82, 84,
85, 88, 90, 91, 92
M
matrise des risques 106
management 89
des risques 26, 33
mcanismes de gouvernance 147, 148
O
ordre de mission 39
organisation 294
centralise 29
dcentralise 31
rapport
daudit 44
dorientation 42
Vinot 140
rattachement hirarchique
32, 47
reporting 26, 28, 57, 85,
105, 109, 110, 112, 115,
Compos par Compo Sud
Achev dimprimer : ????
N dditeur : ?????
N dimprimeur :
Dpt lgal : septembre 2007
Imprim en France
S
SEC 53, 103, 109, 182
service daudit interne 27
sniffing 260
spoofing 260, 263
stakeholders 142, 144, 163,
165, 169
valeur de transfert 227

vers 262
virus 262
W
whistleblowing 13, 185,
187
la franaise 189
Groupe Eyrolles

Audit Interne Ed1 v1

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Audit Interne Ed1 v1

Încărcat de

Drepturi de autor:

Formate disponibile

170 x 240 mm - 18,8 mm

barbary-courte.com - Photo de couverture : Laurent Thion

Christian Prat dit

Code diteur : G53970

Docteur s Sciences de Gestion, lisabeth Bertin est matre de

Cet ouvrage donne une vision trs complte des spcicits

Laudit interne est devenu un acteur majeur du dispositif de

Prface de Louis Vaurs

Sous la direction dlisabeth Bertin

Le Code de la proprit intellectuelle du 1er juillet 1992 interdit en effet

Groupe Eyrolles, 2007

Laudit interne est une fonction qui prsente de grandes spcificits et ne

Conseil si lon en croit lenqute effectue par lIfAcI en 2005, contre 15 %

1. Institut de lAudit Interne, auparavant dnomm Institut Franais de lAudit et du

Lorganisation et la conduite de laudit interne

Chapitre 1 Organisation et mthodologie de laudit interne . . . . . . . . . . . . . 17

Une comparaison des principaux rfrentiels

Audit et contrle interne bancaire : la gestion de multiples

Les difficults de communication lies la pratique

La contribution de laudit interne au processus de gouvernance de

Lobjectivit de lvaluation de la corporate governance

La loi Sarbanes-Oxley et la coopration audit interne/

Chapitre 8 Fusions-acquisitions : le rle de lauditeur interne . . . . . . . . . . . . . . 197

Chapitre 9 Laudit des fraudes dans les filiales . . . . . . . . . . . . . . . . . . . . . . . . . 221

Les contributions concernent :

Il convient de souligner lactualit du sujet : la mise en conformit avec la

Sur un plan mthodologique, la diversit des dmarches ajoute la richesse

Il offre, en premier lieu, un support pdagogique aux tudiants en master

De par la diversit de son contenu et ses diffrentes facettes, ce livre sadresse

Enfin le quatrime chapitre, incontournable, met en exergue les difficults

Le cinquime chapitre prcise le concept de corporate governance , puis

Le dixime chapitre se focalise, quant lui, sur la dtection et la prvention

Pour finir, les diffrents contributeurs1 sont, par ordre dintervention :

1. La prsentation des auteurs figure la page 315.

Concernant la bibliographie, la totalit des rfrences cites est reprise en fin

Professeur Euromed Marseille

audit interne, tel quil est organis et pratiqu aujourdhui en France et

Approches historique et thorique

volution historique de laudit et naissance de la fonction

terme daudit qui a une connotation plus valorisante. Progressivement, le

18 Lorganisation et la conduite de laudit interne en environnement international

Organisation et mthodologie de laudit interne 19

dernier, lobjectif principal est la certification1 du bilan et du compte de

On parle aussi daudit objectif tendu ou valuation globale. Ce type

20 Lorganisation et la conduite de laudit interne en environnement international

INFORMATIONS COMPTABLES ET STATISTIQUES

Schma n 1 - Hirarchie des diffrentes formes daudit

Dfinition et missions de laudit interne

Dfinition de laudit interne

Organisation et mthodologie de laudit interne 21

une activit indpendante et objective qui donne une organisation une

Il ny a pas daudit interne et plus gnralement daudit sans dispositifs de

Les missions de laudit interne

22 Lorganisation et la conduite de laudit interne en environnement international

ces deux premires missions traditionnelles sajoute une mission daudit de

Organisation et mthodologie de laudit interne 23

consister apprcier la pertinence des objectifs et leur degr de cohrence

Investi de toutes ses missions de contrle, laudit interne a gagn en maturit

Les fondements de la cration de la fonction daudit interne

La thorie des cots de transaction

Pour les thoriciens des cots de transaction (Coase, 1937 ; Williamson,

La thorie de lagence et de la gouvernance de lentreprise

24 Lorganisation et la conduite de laudit interne en environnement international

Organisation et mthodologie de laudit interne 25