Documente Academic
Documente Profesional
Documente Cultură
Dans l’actualité
Exemplarité du management :
contre-exemples récents
Idées et débats
Gouvernance et éthique
La profession en
mouvement ...
N°212
Novembre - Décembre 2012
Marquez des points ...
avec la nouvelle certification
professionnelle
Professionnels de l’audit et du contrôle internes, cette nouvelle certification vous permettra de dé-
montrer votre professionnalisme dans le domaine de l’évaluation de la gestion des risques, et plus
particulièrement votre capacité à :
évaluer la maîtrise des risques et la gouvernance des processus métiers de votre organisation ;
sensibiliser la direction et le comité d’audit aux concepts liés aux risques et à la maîtrise des
risques ;
vous centrer sur les risques stratégiques de l’organisation ;
apporter encore plus de valeur ajoutée à votre organisation.
Disponible, à la fin du premier semestre 2013, sous la forme d’un examen, le CRMA™ est ac-
cessible dès aujourd’hui via un processus de Reconnaissance de l’Expérience Profes-
sionnelle (REP). Ainsi, toute personne justifiant d’une expérience professionnelle
dans les cinq domaines couverts par la certification CRMA™, et titulaire de di-
plômes et/ou de tout autre certificat dans le domaine de l’audit, sera en mesure
de faire une demande de REP en vue d’obtenir la certification CRMA™.
T
DIRECTEUR DE PUBLICATION out le monde s’accorde à dire que le profes-
Farid Aractingi sionnalisme des auditeurs internes est essen-
RESPONSABLE DE LA RÉDACTION tiel pour la crédibilité et la légitimité de leur
Philippe Mocquard
fonction. Une formation continue et adaptée aux
RÉDACTEUR EN CHEF
Louis Vaurs besoins de chacun, couronnée ou non par une certifi-
RÉDACTION - RÉVISION cation individuelle (CPAI ou CIA) s’avère de ce point
Jean-Loup Rouff - Béatrice Ki-Zerbo
de vue indispensable.
SECRÉTARIAT GÉNÉRAL
Eric Blanc - Tél. : 01 40 08 48 02
Mel : eblanc@ifaci.com
Tout aussi nécessaire apparaît aujourd’hui l’utilisation, par les services d’audit et de
RÉALISATION contrôle internes, d’outils informatiques appropriés. Afin de vous permettre de faire
EBZONE Communication
32, avenue de Beauregard
le bon choix, nous présentons, dans le dossier de ce numéro, un tableau des prin-
94500 Champigny-sur-Marne cipaux outils que l’on trouve actuellement sur le marché, accompagné des témoi-
Tél. : 01 48 80 00 56
Mel : ebzone@ebzone.fr gnages précieux d’utilisateurs de certains d’entre eux. Pour un complément
d’information, je vous invite à vous reporter sur notre nouveau cahier de la
IMPRESSION
Imprimerie de Champagne recherche « Sélectionner un outil informatique pour les services d’audit et de contrôle
Rue de l’Etoile de Langres - ZI Les Franchises
52200 Langres internes : un véritable projet » qui sera sur le site internet de l’IFACI dès ce mois-ci.
ABONNEMENT
Elsa Sarda - Tél. : 01 40 08 47 84 Dans la rubrique « Dans l’actualité », en partant de nombreux exemples de diri-
Mel : esarda@ifaci.com
geants forcés de démissionner pour comportements condamnables, il est mis en
Revue bimestrielle (5 numéros par an) avant que le « tone at the top » n’est pas qu’une notion théorique mais une compo-
ISSN : 2117-1661
CPPAP : 0513 G 83150 sante importante de l’environnement de contrôle, qui doit être auditée et évaluée
Dépôt légal : décembre 2012 par l’audit interne. Parmi ces comportements condamnables, il y a la question des
Crédit photos : © Sergey Nivens - Fotolia.com
conflits d’intérêts dont on lira avec le plus grand intérêt l’article qui lui est consa-
cré.
A vous tous, lecteurs de la revue « Audit & Contrôle internes », je souhaite ainsi
qu’à ceux qui vous sont chers de très bonnes fêtes de fin d’année.
DANS L’ACTUALITÉ
DOSSIER
6 Exemplarité du management :
contre-exemples récents
Antoine de Boissieu Les outils informatiques
au service des auditeurs
IDÉES ET DÉBATS et contrôleurs internes
8 Gouvernance et éthique Leurs fonctionnalités et leurs atouts p. 11 à 36
Sylvie Le Damany
Exemplarité du management :
contre-exemples récents
Antoine de Boissieu - Associé-gérant, OSC Solutions
L
'actualité récente a ministre des transports chi- Petraeus, en tant que direc- défense, A. Serdioukov a en
fourni une longue nois pour « conduite inap- teur de la CIA, l'exigeait de effet beaucoup lutté contre
liste de cas de diri- propriée » (c'est à dire cor- ses collaborateurs. Il lui a la corruption qui régnait au
geants forcés de démission- ruption), et du ministre des donc été reproché d'être le sein du ministère ; il donnait
ner de manière brutale, dans télécommunications premier à ne pas respecter l'image de vouloir améliorer
des secteurs et des pays très indiens, là aussi pour cor- les règles contraignantes le quotidien des soldats
différents. Les derniers ruption. Les deux sont qu'il imposait à ses agents. russes en mettant un terme
exemples en date, presque actuellement en prison. au pillage en règle des res-
simultanés, datent du mois La situation est similaire sources et matériels de l'ar-
de novembre : le directeur Des points communs pour l'ex-futur DG de mée. Or, il lui est officielle-
de la CIA, le général malgré des Lockheed-Martin. Lockheed ment reproché d'avoir
Petraeus, a ainsi dû quitter différences -Martin est l'une des pre- détourné 80 millions d'eu-
son poste après la révélation mières industries de défense ros, et d'avoir fait traîner des
d'une liaison extra-conju- Ces différents cas, s'ils sont au monde. Ce secteur a travaux de construction de
gale. Au même moment, très différents, ont tous un connu ces dernières années logement pour le personnel
Christopher Kubasik, le point commun : dans tous de nombreuses affaires de du ministère : ce sont préci-
futur DG de Lockheed-Mar- les cas, les dirigeants se sont corruption et d'espionnage sément les deux points sur
tin, quittait la société, là vus reprocher leur manque industriel et commercial. En lesquels il se devait d'être
encore pour des relations d'exemplarité, en étant pris tant que DG d'une des deux exemplaire.
« inappropriées » avec l'une en défaut sur des points où premières entreprises du
de ses collègues. Aupara- ils auraient dû être exem- secteur, C. Kubasik se devait La chute du ministre des
vant, toujours début novem- plaires. Analysons les rapi- donc d'être exemplaire, en transports chinois résulte du
bre, l'on avait appris le dement. prouvant qu'il ne tolérait pas même mécanisme. Les
départ du ministre russe de de comportements contraires réseaux de transport,
la Défense, Anatoli Serdiou- Si la liaison extra-conjugale à la charte d'éthique et au notamment ferroviaires,
kov, officiellement pour cor- du général Petraeus a été code de bonne conduite de sont en effet vus comme une
ruption lors de l'attribution prise si au sérieux, ce n'est la société. Le fait d'enfrein- vitrine de la réussite du
de marchés. Officieusement, pas par pudibonderie ou dre le code de conduite modèle économique chinois,
d'autres explications ont cir- excès de morale : c'est parce avant même d'être nommé tant en interne que vis-à-vis
culé sur les motifs de ce qu'il est demandé aux directeur général l'a décon- de l'étranger. La corruption
départ1. Ces trois départs agents de la CIA de ne pas sidéré. dont est accusé Liu Zhijun
font écho à ceux de ministres avoir de liaison extra-conju- (qui semble avérée) est
chinois et indiens survenus gale pour ne pas risquer Le cas d'A. Serdioukov peut aggravée par les circons-
ces derniers mois, les plus d'être victimes de pressions s'analyser de la même façon. tances dans lesquelles elle
marquants étant ceux du ou de chantage. Le général En tant que ministre de la est intervenue. Liu Zhijun
Gouvernance et éthique
Comment prévenir les conflits d’intérêts
dans la vie publique ?
Les entreprises de dimension internationale connaissent bien le sujet des conflits d’in-
térêts, notamment dans le cadre de la lutte contre la corruption. Des programmes
de sensibilisation sont mis en place sur une grande échelle (diffusion de chartes
éthiques, codes de conduite, référentiels de déontologie…). On peut regretter que
dans la sphère de la vie publique, en France, les mesures préventives préconisées tar-
dent à voir le jour. Des projets de loi devraient être soumis au Parlement en 2013,
particulièrement en matière de prévention des conflits d’intérêts dans la vie publique.
prenantes des entreprises sur ces ques- publiques des agents publics ne sont pas
tions sensibles qui sont loin d’être théo- convenablement gérés, il peut y avoir
Sylvie Le Damany riques. Le rappel des textes réglemen- corruption1.
Avocat et associée, cabinet taires applicables aux activités (Foreign
JeantetAssociés (Contentieux, Corrupt Practices Act, UK Bribery Si l’on constate que la prévention des
Gouvernance, Risques et Conformité)
Act... ), des règles et procédures internes situations de conflits d’intérêts fait bien
est le minimum requis pour alerter et partie intégrante des politiques anti-cor-
La question des conflits informer les personnes les plus exposées ruption des entreprises internationales,
d'intérêts tant dans le secteur dans leurs activités professionnelles. Les il faut regretter que dans la sphère de la
privé que public est une procédures d’alerte et les programmes vie publique, les mesures préventives
préoccupation majeure dans de formation elearning deviennent pra- préconisées tardent à voir le jour en
le monde entier tiques courantes au sein des entreprises, France.
tous secteurs confondus, alors que ces
Les entreprises de dimension interna- sujets continuent d'alimenter l'actualité. Qu’est-ce qu’un conflit
tionale connaissent bien le sujet des d’intérêts ?
conflits d’intérêts notamment dans le Conflit d’intérêts et corruption
cadre de la lutte contre la corruption. En Nous pouvons nous référer à la défini-
la matière, des programmes de sensibi- Le lien entre le conflit d’intérêts et la tion suivante :
lisation sont mis en place au moyen de corruption est un sujet en soi. Il peut
la diffusion de chartes éthiques, codes exister un conflit d’intérêts sans pour « Un conflit d'intérêts naît d'une situation
de conduite, référentiels de déontologie, autant que le délit de corruption soit dans laquelle un agent public a un intérêt
voire de vastes compliance programmes commis. Cela étant, si les conflits entre personnel de nature à influer ou paraître
destinés aux collaborateurs et parties les intérêts privés et les missions influer sur l'exercice impartial et objectif de
La Commission de rénovation cumul des mandats, de prévention des d’actes illicites ou qui identifierait un
et de déontologie de la vie conflits d’intérêts dans la vie publique et risque avéré ou potentiel de conflit d’in-
publique a rendu son rapport de contrôle citoyen. térêts. Il ne s’agirait pas d’une procédure
le 9 novembre 2012 à connotation pénale telle que celle pré-
En matière de prévention des conflits vue à l’article 40 du code de procédure
L’Assemblée nationale et le Sénat ont d’intérêts, la Commission Jospin rejoint, pénale. La Commission estime qu’un tel
créé fin 2010 des groupes de travail sur pour l’essentiel les recommandations de dispositif d’alerte pourrait contribuer
la prévention des conflits d’intérêts. Des TI France ainsi que celles formulées par utilement à la rénovation de la vie
rapports ont été émis en 2011 suivi de la Commission du Président Jean-Marc publique.
recommandations. Sauvé en janvier 2011. Les parlemen-
taires ainsi que les titulaires de certains Rapport à suivre …
Aucune loi n'a été adoptée pour mettre emplois publics supérieurs de l’Etat et
en œuvre toutes ces propositions mais les membres et principaux responsables
le rapport Sauvé sert néanmoins de fon- d’autorités administratives indépen-
dement aux travaux en cours. dantes sont également concernés par les
mesures proposées : adoption d’une loi
Le Président de la République a sur la prévention des conflits
créé en juillet 2012 un d’intérêts, et nécessité de
nouveau groupe de promouvoir le déve-
travail : « la Com- loppement des
mission de réno- « Le conflit d’intérêts bonnes pratiques,
vation et de dans la vie publique en d’autres
déontologie de termes, nou-
la vie publique »
est un sujet qui fait velles obliga-
(dite Commis- couler beaucoup tions, nouvelles
sion Jospin) et a
d’encre. » sanctions et mise
demandé à cette en place de règles 1
Cf. Recommandation du Conseil OCDE du 28
commission de « faire déontologiques. mai 2003 – n° C(2003)107 sur les lignes directrices
pour la gestion des conflits d'intérêts dans le ser-
des propositions relatives à la vice public Annexe § 4.
prévention des conflits d'intérêts, tant « Les différentes approches adoptées 2 Recommandation du 11 mai 2000 n° R (2000)10
à l'égard des parlementaires et des membres par les pays membres [de l'OCDE] pour du Comité des ministres du Conseil de l'Europe sur
du Gouvernement que des titulaires de cer- gérer les situations de conflits d'intérêts sont les codes de conduite pour les agents publics.
tains emplois supérieurs de l'Etat, de le reflet de leurs traditions historiques, juri- 3Cf. Rapport du SCPC 2004 et son Rapport 2010
manière à garantir, par la définition de diques et administratives. Des mesures ins- notamment sur le conflit d’intérêts ou l'émer-
gence progressive d'une nouvelle norme juridique
règles déontologiques, la transparence de la titutionnelles telles que les audits et vérifi- (Chapitre V).
vie publique ».6 cations externes à caractère constructif ou 4Rapport 2010 TI France Prévenir les conflits d’in-
les autres méthodes de contrôle interne ont térêts dans la vie publique.
Le 9 novembre 2012, la Commission a tout à fait leur place dans la gestion des 5
Rapport au Président de la République de la
présenté au Président de la République situations de conflits ».8 Commission de réflexion pour la prévention des
son rapport contenant 35 propositions7. conflits d’intérêts dans la vie publique présidée
par Monsieur Jean-Marc Sauvé vice-président du
L'un des chapitres de ce rapport est Il convient de souligner que le rapport Conseil d’Etat.
consacré à la mise en œuvre d'une de la Commission de rénovation et de 6
Extrait de lettre du Président de la République.
« stratégie globale de prévention des déontologie de la vie publique propose
7 Cf. : www.vie-publique.fr
conflits d’intérêts ». Suite à ces proposi- de mettre en place un dispositif ouvert
tions, plusieurs projets de loi devraient d’alerte éthique tel qu’il existe dans plu- 8Cf. Recommandation du Conseil OCDE du 28
être soumis au Parlement au début de sieurs pays de l’OCDE. Ce dispositif mai 2003 – n° C(2003)107 sur les lignes directrices
pour la gestion des conflits d'intérêts dans le ser-
l'année 2013 notamment en matière de serait ouvert à tout citoyen témoin vice public Annexe § 6.
L
orsqu’on se pose la question tests, et d’en faire un suivi régulier. De interne), la gestion des risques, la ges-
« quels sont les outils informa- la même manière, quelques directions tion de l’audit et la gestion des poli-
tiques mis au service des direc- d’audit ont déployé des outils spécialisés tiques et procédures.
tions d’audit et du contrôle internes ? », dans la fonction « audit interne ». Il en Il n’en reste pas moins que de nom-
on s’imagine que ces directions utilisent est de même pour la fonction « gestion breuses entreprises, n’étant pas
l’ensemble des outils mis à disposition des risques ». convaincues par l’apport d’une solution
de l’ensemble de la société, c'est-à-dire, intégrée, choisissent une approche
la messagerie, les applications bureau- Depuis maintenant plusieurs années, on modulaire en fonction de leur besoin
tiques et éventuellement les solutions constate une tendance forte vers la précis, c'est-à-dire en déployant seule-
intranet et portails collaboratifs, ce qui convergence des processus de gouver- ment les fonctionnalités d’audit interne
est effectivement le cas en tout premier nance, risques, contrôle et conformité1. ou de contrôle interne d’un outil par
lieu. Néanmoins, bon nombre de socié- « GRC (Governance, Risk and Com- exemple.
tés ont déjà mis en place tout ou partie pliance) » est une approche orientée pro-
de solutions plus poussées et dédiées à cessus permettant d’identifier les risques Les analyses considèrent que les solu-
l’amélioration de l’efficacité, de la qua- au sein d’un processus, d’évaluer les tions proposées sur le marché ont
lité et de la communication des métiers contrôles en place pour s’assurer de la atteint une maturité en termes de cou-
d’auditeurs, de contrôleurs et de ges- mise sous contrôle de ces risques. Les verture fonctionnelle ; la différenciation
tionnaires des risques. éditeurs des différents domaines se joue désormais sur les fonctionnalités
(risques, contrôle interne, audit, proces- de gestion de risques et de la prise en
Les outils supports sus) ont fait évoluer leurs solutions pour compte des impacts de ces risques sur la
des processus « métier » couvrir tout ou partie du spectre complet performance de l’entreprise. La ten-
de la « GRC » (Bwise, Enablon, eFront, dance du marché va aussi clairement
On observe durant l’ère Sarbanes Oxley RVR, etc.). On note aussi l’arrivée des vers une plus forte intégration avec les
(2003 - 2004) puis LSF (Loi de Sécurité éditeurs d’ERP sur une partie des fonc- outils de type CACM (présentés ci-des-
Financière) une vague importante de tionnalités couvertes par la « GRC » sous), de Business Intelligence, pour amé-
déploiement d’outils permettant de (Oracle ou SAP). Les fonctionnalités liorer le pilotage global de l’entreprise,
documenter les processus de « contrôle couvertes par de tels outils sont la voire même avec les ERP pour une inté-
interne », d’évaluer les contrôles et les conformité (évaluation du contrôle gration encore plus complète.
Nombre Coût
moyen moyen
Editeurs Progiciel Fonctionnalités / spécificités Architecture
d'utilisa- des
teurs licences
1 300 € à
Solution de gestion des alertes et workflow pour leur de 3 à plus de Architecture Web avec la plateforme ACL
AX Exception 500 € par
suivi. 100 AuditExchange 3.0
utilisateur
Locatif à partir
Cloud technology avec rapatriement de vos
ACL Workpapers Référentiel d'audit pour la gestion des missions d'audit. Illimités de 90 € par
ACL données.
mois
Solution Add-on basé sur Monarch pour extraire les Utilisateur Client installé sur un PC portable ou local avec
ACL Importer 895 €
données complexes. Desktop ACL Desktop.
Solution add-on d'excel pour analyser des données avec de 1 à plus de 250 € par
ACL Acerno Add-on excel.
des fonctions d'audit. 100 utilisateur
Champs d'application
(Sarbanes Oxley)
Audit et contrôle
Auto-évaluation
contrôle interne
Automatisation
prévention de
Evaluation du
des contrôles
Extraction et
analyse des
des papiers
Conformité
spécifiques
Détection /
Gestion et
Solutions
de travail
de l'audit
la fraude
continus
données
Gestion
risques
www.acl.com/solutions/pr
X X X oducts/acl-auditexchange/
www.acl.com/solutions/pr
X X oducts/acl-auditexchange/
www.acl.com/solutions/pr
X oducts/acl-acerno/
www.acl.com/solutions/ho
X t-topics/sap-erp/
EMEA
176 Avenue Charles de Gaulle
X X www.niceactimize.com 92200 Neuilly-sur-Seine
BPS Resolver
703 Evans Avenue, Suite 107
Toronto, ON, Canada
M9C 5E9
X X X X X X X www.bpsresolver.com
Contact : Peter Trinz
Tél. : +1 416 622 2299 (Ext 229)
peter.trinz@bpsresolver.com
BWise France
19 Boulevard Malesherbes
75008 Paris
X X X X X X X X X www.bwise-grc.fr
Contact : Stéphane Dorchin
Tél. : 01 55 27 37 28
stephane.dorchin@bwise.com
Nombre Coût
moyen moyen
Editeurs Progiciel Fonctionnalités / spécificités Architecture
d'utilisa- des
teurs licences
Champs d'application
(Sarbanes Oxley)
Audit et contrôle
Auto-évaluation
contrôle interne
Automatisation
Evaluation du
des contrôles
Extraction et
Site internet Contact et coordonnées
de la fraude
analyse des
analyse des
des papiers
Conformité
spécifiques
Détection /
prévention
Gestion et
Solutions
de travail
de l'audit
continus
données
Gestion
risques
Caseware IDEA
12 Place St Hubert
59000 Lille
X X X www.caseware-idea.fr
Contact : François Lienart
Tél : 03 59 56 06 80
francois.lienart@caseware.com
Cura Europe
Suite 125, Berkeley Square House
Berkeley Square, London,
X X X X X X X www.curasoftware.com W1J 6BD
United Kingdom
Datawatch Corporation
Quorum Office Park
X X www.datawatch.com 271 Mill Road
Chelmsford, MA 01824
USA
Devoteam
73 rue Anatole France
92300 Levallois Perret
EFRONT
2-4, rue Louis David
75116 Paris
X X X X X X X X X X www.efront.com
Contact : Birame Fall
Tél. : +33 1 49 96 94 31
Mobile : +33 7 78 69 52 21
bfall@efront.com
Nombre Coût
moyen moyen
Editeurs Progiciel Fonctionnalités / spécificités Architecture
d'utilisa- des
teurs licences
Champs d'application
(Sarbanes Oxley)
Audit et contrôle
Auto-évaluation
contrôle interne
Automatisation
Evaluation du
des contrôles
Extraction et
Site internet Contact et coordonnées
de la fraude
analyse des
analyse des
des papiers
Conformité
spécifiques
Détection /
prévention
Gestion et
Solutions
de travail
de l'audit
continus
données
Gestion
risques
EMC Corporation
80 Quai Voltaire
X X X X X X X www.emc.com
CS 21002
95876 Bezons Cedex
Enablon
X X X X X X X X www.enablon.fr Tél.: 01 47 33 64 65
info@enablon.net
X X X X X X X
Tél. : 01 58 75 39 92
www.ibm.com
Code prioritaire : 101KR29W
Nombre Coût
moyen moyen
Editeurs Progiciel Fonctionnalités / spécificités Architecture
d'utilisa- des
teurs licences
Champs d'application
(Sarbanes Oxley)
Audit et contrôle
Auto-évaluation
contrôle interne
Automatisation
Evaluation du
des contrôles
Extraction et
Site internet Contact et coordonnées
de la fraude
analyse des
analyse des
des papiers
Conformité
spécifiques
Détection /
prévention
Gestion et
Solutions
de travail
de l'audit
continus
données
Gestion
risques
EMEA
4th Floor
4-6 Throgmorton Avenue
London
X X X X X www.methodware.com EC2N 2DL
United Kingdom
MEGA International
9 avenue René Coty
75014 Paris
X X X X X X X www.mega.com/fr
Contact : Christophe Gontier
Tél. : 01 42 75 40 00
mega.fr@mega.com
MetricStream, Inc.
Immeuble LE SIRIUS
124, rue de Verdun
X X X X X X www.metricstream.com 92800 Puteaux
Tél. : +33-(0)180048557
info@metricstream.com
Oracle
Portes de la Défense
15, boulevard Charles de Gaulle
www.oracle.com/fr/solutio 92715 Colombes
X X X X X X X X X ns/corporate-
governance/index.html Contact : Christian Meyer
Tél. : +33 1 57 60 23 86
Mobile : +33 6 08 41 84 32
christian.meyer@oracle.com
Nombre Coût
moyen moyen
Editeurs Progiciel Fonctionnalités / spécificités Architecture
d'utilisa- des
teurs licences
Champs d'application
(Sarbanes Oxley)
Audit et contrôle
Auto-évaluation
contrôle interne
Automatisation
Evaluation du
des contrôles
Extraction et
Site internet Contact et coordonnées
de la fraude
analyse des
analyse des
des papiers
Conformité
spécifiques
Détection /
prévention
Gestion et
Solutions
de travail
de l'audit
continus
données
Gestion
risques
Oxial - France
15 rue Taitbout
75009 Paris
X X X X www.oxial.com
Tél. : +33 (0)1 73 02 15 71
contact@oxial.com
Pentana Ltd.
Gate House, Fretherne Road
Welwyn Garden City
X X X X X www.pentana.com Hertfordshire - AL8 6RD
United Kingdom
Tél. : +44 (0) 1707 373335
info@pentana.com
Protiviti
21, Boulevard Haussmann
75009 Paris
www.protiviti.com/grc-
X X X X X X X software
Contact : Vincent Clostre
Tél. : 01.42.96.22.77
vincent.clostre@protiviti.fr
Qlik Technologies
93, avenue Charles de Gaulle
X www.qlikview.com 92200 Neuilly sur Seine
Tél. : +33 (0)1 55 62 06 90
infofr@qliktech.com
ROK
94, rue Saint Lazare
X X www.rok-solution.com
75009 PARIS
Tél. : 01 42 81 51 98
Tél. : 01 44 45 20 00
23
DOSSIER
Nombre Coût
moyen moyen
Editeurs Progiciel Fonctionnalités / spécificités Architecture
d'utilisa- des
teurs licences
TeamMate a été conçu comme un outil capable Un serveur de base de données est nécessaire
d’augmenter l’efficacité et la productivité de l’ensemble pour les applications Web de TeamMate et
du processus d’audit, permettant aux utilisateurs de recommandé pour les applications de bureau.
consacrer plus de temps aux tâches et services à forte Tarifs Les spécifications du serveur de base de
nombre
valeur ajoutée. TeamMate est utilisé dans tous les applicables données varient selon les besoins et le
TeamMate suite, moyen de 40
secteurs d'activités et dans les services d’audit de toute par tranche nombre d’utilisateurs dans une organisation.
Audit Management utilisateurs
taille. TeamMate permet de gérer l’intégralité du cycle d'utilisateurs Les bases de données prises en charge sont
System (AM) par
de vie de la mission d'audit avec notamment : et disponibles Microsoft SQL Server 2005 SP1/ SP2/SP3,
organisation
évaluation des risques, programmation des missions, à la demande. Microsoft SQL Server 2008 SP1/SP2, Microsoft
préparation et documentation des missions, suivi des SQL Server 2008 R2, ainsi que MS SQL Express
durées et dépenses, création de rapports d'audit, suivi 2005 et 2008. L’option cloud hosting est
des recommandations et reporting. disponible.
Wolters Kluwer
TeamMate CM a été conçu pour SOX et autres
(AS-123,...) pour aider à gérer facilement les activités de
gestion de conformité où l'identification, l'évaluation, la
vérification et les rapports de certifications sont
nécessaires. TeamMate CM fournit une relation souple
TeamMate suite,
entre les entités, processus, comptes des états financiers Interface web. Version tablette disponible.
Control NC NC
et structures hiérarchiques. TeamMate CM permet de Disponible Q1 2013
Management (CM)
basculer entre les vues afin de visualiser les risques et
contrôles de différentes hiérarchies. L’outil permet de
mettre à jour les informations de contrôle et d'appliquer
les modifications aux instances actives de ce contrôle
24 dans les évaluations.
Les outils informatiques au service des auditeurs et des contrôleurs internes
Champs d'application
(Sarbanes Oxley)
Audit et contrôle
Auto-évaluation
contrôle interne
Automatisation
Evaluation du
des contrôles
Extraction et
Site internet Contact et coordonnées
de la fraude
analyse des
analyse des
des papiers
Conformité
spécifiques
Détection /
prévention
Gestion et
Solutions
de travail
de l'audit
continus
données
Gestion
risques
Software AG
Uhlandstr. 12
D-64297 Darmstadt
X X X X X X www.softwareag.com Germany
Sword Achiever
X X X X X X www.sword-achiever.com
Tél. : +44 208 232 2555
info@sword-achiever.com
Symbiant
Westgate House
100 Wellington Street
X X X X www.symbiant.co.uk
Leeds. LS1 4LT
United Kingdom
Tél. : +44 113 237 3954
Tableau Software
X www.tableausoftware.com
Tél. : 33 (0) 970 444 196
Thomson Reuters
6 boulevard Haussmann
www.accelus.thomsonreut 75009 Paris
X X X X X X X X ers.com/solutions/internal-
audit Contact : Alexandre Lyons
Tél. : 00 33 01 495190
alex.lyons@thomsonreuters.com
X X X www.wizsoft.com NC
25
* Disponible Q1 2013
DOSSIER
«
E
n automatisant les processus d’au- Disposer impérativement des sans que cela fasse l’objet d’un appren-
dit avec ACL, notre entreprise a fonctionnalités étendues tissage dissuasif ni qu’il faille recourir à
bénéficié d’améliorations dans plu- d’analyse de données des technologies complexes impliquant
sieurs domaines. Nous avons pu notam- un support informatique conséquent.
ment réduire de 70 % la durée et le coût de Le département Finances et Audit
nos analyses. » financier du groupe devait disposer Plateforme standardisée
impérativement d’une solution perfor- d’analyse de données
Basé à Berlin et à Munich, Siemens mante, capable de standardiser les ana-
exerce des activités très diversifiées dans lyses de données et le reporting des Le siège social international de Siemens
le monde entier. Le groupe devait donc exceptions, tout en limitant l’échan- a porté son choix sur les solutions ACL,
impérativement disposer d’une techno- tillonnage afin de minimiser les failles dans le but de standardiser et d’automa-
logie d’analyse de données économique, dans les contrôles, les risques, les tiser un ensemble de tâches variées, et a
standardisée et automatisée. Son dépar- fraudes et les pertes de revenu. institué un service d’analyse des don-
tement financier a créé un service d’ana- Il souhaitait également automatiser les nées chargé de piloter cette mission.
lyse des données, avec pour objectif processus manuels et améliorer la ren-
l’automatisation des tests et de l’analyse tabilité des projets d’analyse de données
des données d’environ 60 sociétés Sie-
mens réparties dans 20 pays de la zone
Asie-Pacifique.
AG2R La Mondiale est le 1er groupe de pro- Ce que l’outil m’a apporté par l’IFACI, démarche facilitée par la
tection sociale en France. Il allie perfor- mise en place du suivi des recomman-
mance économique et engagement social au BWise nous a accompagnés dans le dations et plans d’actions associés au
travers des valeurs portées par le parita- déploiement opérationnel de notre sein de BWise.
risme et le mutualisme. En 2011, il a géré démarche de contrôle interne et de ges-
15,5 Md€ de collecte pour 8 millions d’as- tion des risques au sein du groupe. La Les avantages et les limites de
surés. solution et les experts BWise nous ont l’outil
AG2R La Mondiale dispose de toutes les permis d’industrialiser le processus de
expertises en assurance de personnes. Le suivi des risques et d’assurer le cycle L’ergonomie de la plate-forme logicielle
Groupe couvre l’ensemble des besoins de complet de gestion des risques : carto- a été un élément déterminant dans la
protection sociale et patrimoniale tout au graphies des risques, actions de maîtrise, sélection de BWise, ce qui a contribué à
long de la vie de ses assurés. Il apporte des plans de contrôles, suivi des plans d’ac- la bonne acceptation de l’outil par les
réponses individuelles et collectives, aussi tions. Grâce à BWise, nous avons à notre utilisateurs. Sa grande adaptabilité a
bien en prévoyance qu’en santé, en épargne disposition une base des incidents également été un élément-clé car nous
comme en retraite complémentaire et sup- majeurs du Groupe. De plus, nous voulions un logiciel capable d’accompa-
plémentaire, quels que soient l’âge, le statut sommes en mesure de communiquer gner la méthodologie que nous avions
social et le secteur professionnel. sur les risques à travers du reporting et développée. BWise est un outil très
de partager l’information en temps réel. complet et évolutif qui est donc capable
La problématique BWise nous permet également de pré- de répondre aussi bien à nos besoins
parer sereinement notre conformité à la actuels qu’à nos défis futurs. La dispo-
La sélection d’un outil a été initialement norme Solvabilité II. Récemment, nous nibilité et l’expertise des consultants
motivée par trois objectifs principaux. avons étendu l’usage de BWise à l’audit BWise sont des atouts supplémentaires
Compte tenu des enjeux croissants pour interne. En effet, nous nous sommes qui nous permettent de réfléchir ensem-
les sociétés d’assurance en matière de engagés dans le processus de certifica- ble à notre développement.
gestion des risques et face à une régle- tion de notre direction d’audit interne
mentation de plus en plus contrai-
gnante, il était important de diffuser une
culture « risques » et une culture de vigi-
lance à l’égard de ces risques au sein du
Groupe. Le deuxième enjeu était de
centraliser et structurer l’ensemble des
données relatives aux risques pour pou-
voir disposer d’informations immédia-
tement accessibles et homogènes. Enfin,
nous souhaitions pouvoir effectuer un
reporting fiable et pertinent de la gestion
des risques. Nous avons complété
récemment ces objectifs pour répondre
à un nouveau défi : l’accompagnement
du travail de l’équipe d’audit interne, en
particulier dans le cadre du suivi des
recommandations et du processus de
certification IFACI en cours.
BWise France
19 Boulevard Malesherbes - 75008 Paris
Contact : Stéphane Dorchin - Tél. : 01 55 27 37 28 - stephane.dorchin@bwise.com
www.bwise-grc.fr
S
onepar est un distributeur de solu- apporte: l’outil, si possible à chaque audit ;
tions techniques aux professionnels de • productivité : nombreuses fonctions • décrire clairement chaque test : quel
l'électricité, avec un chiffre d’affaires intégrées, traçabilité et reproduction est l’objectif recherché ?
2011 de 14,7 milliards d’€ réalisé dans 35 des tests (modélisation et scripts) ; • définir précisément les données :
pays avec 160 filiales et 33 000 collabora- • universalité et exhaustivité : importa- qu’est-ce que je demande, sous quelle
teurs. Nous avons une équipe d’une ving- tion des principaux formats de forme ?
taine d’auditeurs internes basés au siège du fichiers, 100% des données sont ana- • qualifier les données obtenues, par
groupe à Paris, ou à l’étranger, notamment lysées. exemple à partir d’états financiers ou
en Amérique du Nord. statistiques de la période ;
Ainsi, nous nous sommes plusieurs fois • gérer le savoir dans les équipes et
La problématique assurés de l’absence de doubles paie- d’une mission à l’autre.
ments ou du respect complet d’une
Dans notre métier, la distribution pro- règle de gestion, et ce sur des périodes Nous documentons nos tests standards
fessionnelle, le volume des flux et le supérieures à un an. Cette assurance est et leurs demandes de données asso-
nombre de transactions sont très élevés. très appréciée des auditeurs et du mana- ciées, avec l’aide ponctuelle d’un utilisa-
Les fichiers sont souvent de grande taille gement. teur chevronné, auditeur « expert » de
et de formats divers ; leur analyse néces- l’équipe locale ou consultant, toujours
site un outil à la fois plus rigoureux et Que faire pour réussir la mise sur un cas réel, en mission.
plus puissant qu’un tableur, et tout aussi en place et l’utilisation ?
accessible. L’objectif de Sonepar en
acquérant IDEA était de faciliter les tests • utiliser et faire utiliser fréquemment
d’audit et de les systématiser, pour éle-
ver le niveau d’assurance obtenu.
Caseware IDEA
12 Place St Hubert - 59000 Lille
Contact : François Lienart - Tél : 03 59 56 06 80 - francois.lienart@caseware.com
www.caseware-idea.fr
B
ouygues est un groupe industriel La mise en commun des repose sur une affectation nominative
diversifié, dont les métiers s'organi- besoins des principes aux répondants et vali-
sent autour de deux pôles : la dants de chaque entité, et sur un work-
construction avec Bouygues Construction, La solution déployée sur les cinq métiers flow précis de validation.
Bouygues Immobilier et Colas, et les télé- du Groupe et sur la holding, compte plus
coms-médias avec TF1 et Bouygues Tele- de 2 000 utilisateurs qui participent aux Les apports de l’outil
com. évaluations tout au long de l’année.
Présent dans 80 pays, le groupe a réalisé un Un effort important a été réalisé pour
chiffre d’affaires de plus de 32 milliards Afin de répondre, dans un même outil, proposer un bon niveau d’ergonomie
d’euros en 2011 avec plus de 130 000 col- aux besoins fonctionnels des cinq afin de minimiser les efforts de forma-
laborateurs. métiers, il a fallu tenir compte des spé- tion et faciliter la prise en main de l’outil
cificités de chacun (en particulier en par l’ensemble des utilisateurs.
Les objectifs du projet termes de principes métiers, d’organisa-
tion et de workflow) en les intégrant à un La solution donne la possibilité pour les
Le groupe Bouygues a construit un réfé- cadre structuré et commun. Nous avons utilisateurs d’éditer des états de restitu-
rentiel de contrôle interne Groupe, affiné ensemble l’ergonomie de l’appli- tion et d’analyse prédéfinis et propose
applicable à tous ses métiers, et a défini cation et les états de restitution. également des fonctionnalités d’analyse
une méthode d’auto-évaluation des croisée des données.
principes de contrôle interne. Chaque métier du Groupe étant orga-
nisé de manière autonome, nous avons L’outil permet aussi un suivi simple de
Le Groupe a souhaité se doter d’un outil choisi de décentraliser la gestion des l’avancement des plans d’actions définis
informatique afin de faciliter le déploie- campagnes et l’administration fonction- dans le cadre des campagnes d’évalua-
ment de l’évaluation des principes de nelle. Notre méthode d’évaluation tion.
contrôle interne, et en particulier de :
• rendre plus fluide, plus fiable et plus
rapide le déploiement des campagnes
d’évaluation dans chacun des métiers,
et suivre leur avancement ;
• automatiser les remontées des éva-
luations ;
• faciliter la production d’états de resti-
tution des résultats de l’évaluation ;
• stocker de manière fiable et centrali-
sée les données historiques.
Devoteam
73 rue Anatole France - 92300 Levallois Perret
Contact : Paul Chegaray - Tél. : 06 71 05 28 44 - paul.chegaray@devoteam.com
www.devoteam.com
6
ème assureur dommages des particu- Les avantages et les limites de Dumont, directeur de l’audit interne,
liers et 1er assureur du secteur asso- précise : « Aujourd'hui, nous l'utilisons
l’outil
ciatif, la MAIF couvre l’ensemble des pour nos audits d'entités commerciales et de
besoins de ses 2,7 millions de sociétaires gestion de sinistres pour lesquels nous
M. Forgerit confirme : « La solution
(assurances de biens, prévoyance, santé, avons conçu un référentiel d'une centaine
eFront nous permet de créer et d’automati-
assistance, épargne, crédit…). En 2011, le de contrôles par entité que nous avons
ser l’ensemble des reportings afin de répon-
groupe MAIF a réalisé un chiffre d’affaires implémentés dans le progiciel eFront. Cela
dre aux besoins du législateur et des
de plus de 3 milliards d’euros. nous permet de mener chaque mission en 15
métiers, notamment du contrôle permanent.
à 20 j/h, de l'analyse des données initiales
Nous avons en outre développé un outil spé-
La problématique jusqu'à la production du rapport, en pas-
cifique d’auto-contrôle adapté aux respon-
sant par le séjour sur site. Nous pensons
sables des entités commerciales et des cen-
Le département de gestion des risques qu'il nous reste encore une marge d'optimi-
tres de gestion des sinistres. »
a été créé en 2007. Jusqu’alors, Excel sation en perfectionnant les paramétrages.
était l’outil utilisé et a rapidement mon- Notre enjeu va être maintenant de transpo-
La MAIF étant satisfaite de l’outil eFront
tré ses limites. La MAIF avait donc ser dans l'outil notre méthodologie de mis-
retenu pour sa cartographie des risques
besoin d’un outil spécifique pour gérer sions longues d'audit de processus puis la
et l'animation de son contrôle perma-
les risques et le contrôle permanent ; gestion du plan d'audit lui-même. L'outil
nent, il était logique que l'audit interne
eFront correspondait parfaitement aux est fiable, son adaptabilité est grande avec
s'intéresse en priorité à FrontAudit au
pour corollaire le besoin d'une charge signi-
ficative de paramétrage. »
besoins de la MAIF, notamment grâce à moment de choisir un outil pour faciliter
l’évolutivité de ses paramétrages. la réalisation de ses missions. Vianney
EFRONT
2-4, rue Louis David - 75116 Paris
Contact : Birame Fall - Tél. : +33 1 49 96 94 31 - Mobile : +33 7 78 69 52 21 -
bfall@efront.com - www.efront.com
La problématique UMB a donc choisi RSA Archer afin de l'efficacité au sein de l'entreprise tout en
gérer l'agrégation de données provenant renforçant la confiance dans les efforts
UMB Financial est l'une des plus des différents silos et nécessaires à la entrepris pour garantir la conformité.
grandes banques indépendantes aux gestion du risque, le contrôle de proces-
États-Unis et fournit une large gamme sus et le reporting multi-niveaux, en plus Un des principaux avantages que nous
de produits et de services à ses clients. du suivi des incidents, de la gestion des avons vu depuis la mise en œuvre de
De ce fait, UMB se doit de protéger les biens, l'audit et la conformité auprès des RSA Archer est une plus grande trans-
données de ses clients et de se confor- organismes de régulation. parence de l'information. Nous pouvons
mer de manière précise aux exigences La solution RSA Archer est utilisée par organiser les résultats des enquêtes et le
du reporting financier. près de 500 employés au sein d'UMB, contenu de notre base de données de
La direction des Opérations et la direc- dont les membres du Conseil d'admi- contrôle des risques au sein de différents
tion des Risques se sont échinées pen- nistration, la direction, les responsables tableaux de bord.
dant des années avec un outil ERM métier et l'équipe IT. Un tableau de bord
(Enterprise Risk Management) non inté- des risques de l'entreprise fournit aux En outre, la plate-forme RSA Archer
gré et inefficace, reposant principale- managers et aux régulateurs la bonne permet à UMB de modéliser ses propres
ment sur des feuilles de calcul et des information en temps et heure. processus métier sans faire appel à des
emails provenant des managers afin de développements de services tiers. Nous
disposer d'un état du niveau de risque Les avantages et les limites de pouvons apporter des modifications « à
encouru par la société. Il leur manquait l'outil la volée » afin d'adapter le système à nos
une vue agrégée, prenant en compte les besoins.
informations provenant des différents RSA Archer permet à UMB de minimi-
silos de données de l'entreprise, ainsi ser le risque d'entreprise et d'améliorer
qu'un système accessible via l'intranet,
supportant les workflows, et qu'elles
pourraient complètement adapter à
leurs processus métier.
EMC Corporation
80 Quai Voltaire - CS 21002
95876 Bezons Cedex
www.emc.com
B
asée aux Pays-Bas, Provimi Holding contrôles et la conformité par rapport propagation de nouveaux conflits lors de
est l'une des trois plus importantes aux réglementations en vigueur (UK la création d’une nouvelle demande
sociétés d'aliments pour animaux en Bribery Act, US Foreign Corrupt Prac- d’accès et lors de la maintenance des
Europe occidentale. Provimi a mis en œuvre tices Act - FCPA). rôles. SAP Process Control permet de
la suite SAP GRC pour augmenter la valeur SAP Access Control a permis de réduire définir des cadres de contrôle multiples,
de l'entreprise en déployant un dispositif de les risques d'accès et de séparation de à tous les niveaux (groupe, division,
maîtrise des risques et de contrôle interne. tâches liés aux autorisations affectées filiale, entité).
aux utilisateurs. SAP Access Control et SAP Process
La problématique SAP Process Control a permis de sur- Control peuvent être associés à SAP
veiller de manière continue les contrôles Audit Management pour la gestion des
Avant le projet, Provimi avait toutes les dans les processus opérationnels, d’at- audits internes et externes et à SAP Risk
caractéristiques d'une organisation tester la réalité des contrôles, de réduire Management pour le pilotage des
décentralisée, avec une holding très les temps passés par les parties pre- risques.
réduite (25 employés), un modèle orga- nantes (contrôleurs, auditeurs internes
nisationnel basé sur des centres de pro- et externes) en remplaçant les contrôles « Les Solutions SAP GRC nous ont permis
fit, une culture du risque peu dévelop- manuels par des contrôles automatisés. de faire la preuve que nous contrôlons nos
pée, un nombre important de systèmes risques de manière effective. Être en mesure
ERP hétérogènes (7 fournisseurs différents). Les avantages et les limites de de le démontrer a valorisé considérablement
La décision a été prise de transformer l’outil notre entreprise ». Louis van Vliet, Group
Provimi en une holding (75 personnes) Internal Audit Manager, Provimi Holding
avec une organisation déclinée en clus- Access Control permet la gestion pré- B.V.
ter s’appuyant sur un nouveau modèle ventive des risques d’accès pour éviter la
de gouvernance et de maîtrise des
risques, une direction informatique cen-
tralisée s’appuyant sur un ERP SAP
unique et une plate-forme GRC associée.
Les objectifs du projet GRC consistent à
ancrer une culture d’entreprise en ali-
gnant l’organisation sur les directives du
top management, à déployer un code de
conduite, des normes et des procédures
partagées par tous, une procédure
d’alertes (whistle blowing).
L
ors de mon arrivée chez Zodiac régulièrement, permettant ainsi au res- permis d’améliorer notre processus de
Aérospace en tant que directeur ponsable de mission de suivre l’avance- gestion des risques (le module TeamRisk
de l’audit et du contrôle internes ment de la mission. Ils génèrent auto- est utilisé depuis début 2012 pour réali-
Groupe en 2009, j’ai mené une réflexion matiquement le rapport d’audit interne ser des campagnes d’auto-évaluations
pour améliorer l’efficacité des missions à partir de l’outil ce qui permet un pre- de toutes les BU du Groupe).
d’audit. mier débriefing structuré avec les audi- Le fait d’avoir chargé notre programme
tés sur les écarts majeurs avant la fin de d’audit standard dans la bibliothèque
Problématique la mission. TeamStore nous a également aidé à uni-
Enfin, les audités utilisent le rapport formiser la démarche de chaque audi-
Jusqu’à mi 2011, les missions d’audits généré par l’outil pour nous faire part de teur, à mieux documenter chaque point
internes locales étaient gérées via un leurs remarques, ces dernières étant de contrôle et à lier des procédures ainsi
outil interne permettant un suivi de la automatiquement réintégrées dans l’ou- que des outils Groupe.
couverture du plan d’audit pluriannuel til pour la version finale. Une fois la mis- Concernant les limites de l’outil, nous
ainsi qu’un état d’avancement des sion finalisée, via la solution web, les ne disposons pas aujourd’hui de fonc-
recommandations. Cet outil bien qu’ef- audités mettent à jour le suivi des plans tionnalité de questionnaire de contrôle
ficace nécessitait néanmoins beaucoup d’actions. interne sur le site web partagé avec les
de temps de mise à jour et de nom- Business Units du Groupe (fonctionnalité
breuses opérations manuelles. Un projet Les avantages et les limites de livrée sur la dernière version) et nous
Groupe a été initié afin de sélectionner l’outil aimerions voir apparaître quelques évo-
un outil reconnu sur le marché permet- lutions par rapport aux fonctionnalités
tant la réduction du temps de gestion Outre la réduction du temps adminis- du rapport automatique de l’outil.
administrative des missions, l’automati- tratif des missions d’audit, l’outil nous a
sation de la production des rapports
d’audits, l’échange avec les audités et le
suivi des plans d’action.
L
a professionnalisation croissante
L’Unité de Recherche Informatique de l’IFACI vient de finaliser une publication
des services d’audit et de
concernant la sélection d’outils pour les services d’audit ou de contrôle internes. Elle
contrôle internes, leur insertion
préconise une expression claire des besoins et donne les clés permettant d’apprécier
dans des environnements de plus en
les « coûts » du déploiement en termes financiers, de temps, ou d’insertion dans les
plus complexes justifient l’usage crois-
processus existants. La démarche de gestion de projet proposée permet de gérer ces
sant des outils informatiques.
risques et de tirer vraiment partie des fonctionnalités retenues.
Le contexte
• illustrant la démarche par des bonnes logiciel, développement, réorganisa-
Les avantages les plus couramment pratiques et des retours d’expériences tion, évolution, etc.) ;
attendus de solution informatique visent de professionnels de l’audit et du • concevoir une stratégie de test cohé-
à: contrôle internes qui ont été confron- rente avec les besoins ;
• l’amélioration des performances (pro- tés à cette problématique de sélection • évaluer les logiciels et les faire fonc-
ductivité, knowledge management, et de déploiement d’outils. tionner (proof of concept) ;
etc.) ; • choisir le logiciel à déployer ;
• la maîtrise des activités (planification Le leitmotiv de l’Unité de Recherche est • maquetter, développer ;
supervision, communication, suivi) ; qu’il faut continuellement apprécier les • tester ;
• la qualité (adoption des bonnes pra- « coûts » en termes financier, de temps, • mettre en place (reprise de l’existant,
tiques, amélioration continue). de pertinence des analyses ou encore de formation des utilisateurs…) ;
production d’indicateurs à la mesure des • administrer et maintenir.
Les avantages sont indéniables, mais il bénéfices attendus. En effet, toute utili-
n’est pas rare de voir des services d’audit sation de logiciel présente des risques et Les rôles et responsabilités doivent être
et de contrôle internes ne pas pouvoir peut donc poser plus de problèmes qu’il clairement définis avant le lancement du
profiter de toutes les opportunités que n’en résout. projet. Il est préconisé de formaliser les
permet une solution logicielle, faute de affectations de chaque personne impli-
ne s’être pas posé les bonnes questions. La démarche proposée quée, la charge estimée de travail sur le
Les travaux de l’URI (Unité de projet, la fréquence des réunions de tra-
Recherche Informatique de l’IFACI) L’URI propose un système de gestion vail et d’avancement, ainsi que les
cherchent à lever cet écueil en : des risques à chaque étape du choix et contributions attendues.
• proposant une démarche de gestion de la mise en œuvre d’un outil.
d’un tel projet ; Mettre en place un outil passe par les La structure de projet est à ajuster en
• rappelant les risques principaux à étapes suivantes : fonction de l’ampleur de votre équipe.
chaque étape de ce processus (à savoir • tenir compte de l'environnement ; Elle comporte généralement :
les questions à se poser pour les évaluer • exprimer les besoins et les prioriser ; • un sponsor ayant la responsabilité
et les dispositifs de maîtrise adéquats) ; • étudier les options (acquisition d’un d’arbitrer les décisions clés,
• un comité de pilotage, logiciel, de facilité d’apprentissage ou regard des critères préalablement défi-
• un comité de projet. encore de facilité de maintenance. nis. Un nombre restreint d’éditeurs sont
Le responsable du service doit s’assurer invités à préciser leur offre lors d’entre-
La désignation du chef de projet est un de la classification de ces besoins. tiens oraux, voire de tests.
point critique pour le succès de la
démarche. Il convient de s’assurer que Choisir une solution Mener le projet
l’ensemble des directions impactées par
le déploiement de l’outil informatique Un outil logiciel n’est pas, dans notre La notion de jalon est rappelée comme un
soit partie prenante du comité de pilo- contexte, un objectif, mais un moyen, élément essentiel de maîtrise de la dérive
tage. Il faut également inclure les bons une solution possible (Cf. Schéma). du projet. Il n’y a pas de « petit projet »
acteurs. De même, le prestataire infor- Il convient donc d’analyser des options qui justifierait de s’affranchir de ces étapes
matique interne doit être associé en au regard des besoins identifiés. clés, où l’on s’interroge toujours et encore
amont du projet (pour une meilleure sur la pertinence des options choisies. La
performance et plus de sécurité, etc.) Lorsque l’option retenue est « acquérir conduite de projet est de savoir détermi-
même lors d’une acquisition d’un pro- un logiciel », l’étape suivante consiste à ner son état d’avancement. Comme les
giciel du marché. analyser les différentes solutions. Pour Romains l’avaient compris, il n’y a qu’un
ce faire, un cahier des charges définis- bon moyen de savoir où on en est, c’est
Partir des besoins pour sant les critères de consultation et de de placer des jalons le long de sa route.
orienter les choix sélection devrait être établi. Ces critères
vont au-delà de l’aspect fonctionnel et Maquetter / développer / paramétrer
S’il est tentant pour les responsables de permettent notamment de : Compte tenu des besoins spécifiques à
service de croire que l’achat d’un logiciel • préciser le périmètre de la consulta- chaque organisation, tout progiciel
résoudra leurs problèmes, en pratique le tion. Inclut-il, par exemple, les plate- nécessite une personnalisation qui peut
bilan peut être plus mitigé lorsque l’outil formes techniques (serveurs, base de aller du plus simple (quelques informa-
choisi ne convient ni aux objectifs, ni au données et applications) ? Tient-il tions tapées sur l’écran) au plus compli-
périmètre, ni à l’organi-
sation du système d’audit
et de contrôle internes.
Etudier les options
de performance et
tableaux de bord), ou des
activités (ex. : feuilles de travail, analyse compte des synergies avec d’autres qué (développement de fonctionnalités
de données). Mais les besoins peuvent services potentiellement utilisateurs spécifiques par exemple). Cette phase
également répondre à des exigences non (AI / CI / Risques, notamment) ? peut, bien souvent, engendrer des sur-
fonctionnelles, sur le modèle de l’ISO • définir les modalités de consultation prises tant sur les délais que sur les
9126-1:2001 Génie du logiciel – Qualité au regard des contraintes de planning coûts. Plus l’expression des besoins aura
des produits. du service et des procédures d’achat. été claire, plus des ajustements pourront
Par exemple, on pourra préciser ses exi- être effectués en amont et gérés en
gences en termes de lisibilité de la docu- Enfin, l’éditeur à même de déployer la connaissance de cause.
mentation utilisateur, d’ergonomie du solution souhaitée est sélectionné, au
Evénements
son entité. chaque point de contrôle aider à structurer et mainte-
Un dispositif d’audit clé, les bonnes pratiques et nir un dispositif de contrôle
unique, rapportant au PDG modes opératoires de interne efficace. Elles sont
du groupe, permet de véri- contrôle associés. en charge de l’application
fier périodiquement la per- de la méthodologie, de la
Rôles et tinence des dispositifs et la Les directions fonction- formation et du soutien aux
responsabilités des sincérité des auto-évalua- nelles sont en responsabi- opérationnels.
directions tions, et d’apporter aux diri- lité directe sur leurs opéra-
fonctionnelles au geants une assurance rai- tions et donc sur leur SOX est le vecteur princi-
sein d’un dispositif sonnable sur la couverture contrôle interne ; elles sont pal du contrôle interne.
de contrôle interne des principaux risques. en responsabilité indirecte Les activités de contrôle du
sur la partie des processus dispositif SOX sont implan-
Réunion mensuelle Les acteurs clés dans le assurée par d’autres acteurs tées au plus près des
du 17 octobre 2012 contrôle interne groupe. qui ne leur sont pas ratta- métiers et des processus, et
Les animateurs de contrôle chés hiérarchiquement, et les responsables de ces acti-
Le bon fonctionnement interne, nommés et manda- interviennent alors en tant vités de contrôle sont choi-
d’un dispositif de contrôle tés par les managers, sont que propriétaires de proces- sis au sein des directions
interne est fonction de l’im- chargés de piloter la mise sus. fonctionnelles : contrôleurs
plication de l’ensemble du en œuvre du dispositif de de gestion, comptables,
personnel de l’organisation. contrôle interne au sein de Comment impliquer les qualiticiens, responsables
l’entité. directions fonctionnelles des SI… Il y a de fortes
EDF en tant que propriétaires interactions entre le
Responsabilité des enti- de processus ? En les asso- contrôle interne, SOX et les
Principes clés de la poli- tés. Chaque entité est res- ciant à tous les travaux de directions fonctionnelles.
tique de contrôle interne. ponsable de sa comptabi- contrôle interne concernant
Pour les activités qui lui lité. Elle met en œuvre un le processus (ateliers, sémi-
sont déléguées, chacun des plan de contrôle interne naires, auto-évaluations...) ; Mobilité, « Bring your
managers du groupe est dans lequel figure un volet en ne les sollicitant que sur own device » et
responsable de : maîtriser comptable et financier. Le les points de contrôle cor- cybercriminalité :
les risques ; vérifier cette directeur d’entité signe une respondant au périmètre faire évoluer ses
maîtrise pour chacun des lettre d’engagement. sur lequel ils sont en res- pratiques face à la
domaines subdélégués ; ponsabilité directe ; en ne réalité des menaces
adosser et proportionner SNCF recherchant pas formelle- dans le cyberespace
ses dispositifs et activités de ment leur responsabilité
contrôle aux risques identi- Quelques principes de indirecte. Réunion mensuelle
fiés ; auto-évaluer les dis- base. Les branches, du 21 novembre 2012
positifs de contrôle ainsi domaines et directions Orange Business Services
mis en œuvre, et en rendre fonctionnelles sont respon- Le BYOD est une stratégie
compte de façon formelle et sables de leur contrôle La direction du contrôle d’entreprise : des employés
régulière à son autorité de interne, sur le périmètre du interne groupe pilote le apportent sur leur lieu de
rattachement. groupe. La direction de dispositif de contrôle travail leurs propres équi-
Soixante entités environ, l’audit et des risques assure interne du groupe. Dans ce pements qu’ils utilisent
opérationnelles et fonction- le pilotage et l’animation, cadre, elle doit notamment pour accéder aux ressources
nelles, élaborent un rapport en lien avec la direction s’assurer de la mise en de l’entreprise, comme le
d’auto-évaluation annuel financière du groupe. Pour œuvre et du suivi, par les courrier électronique, les
transmis à la direction de chaque branche, domaine fonctions opérationnelles, serveurs de fichiers…
l’audit interne. Chaque et direction fonctionnelle, des plans d’action jugés
manager de ces entités une feuille de route précise nécessaires. Pourquoi le BYOD ?
nomme et mandate un ani- les périmètres et processus
mateur de contrôle interne d’intervention ; des guides Les directions de contrôle Pour le iWorker, le matériel
pour piloter la mise en de contrôle interne mettent interne local ont pour mis- utilisé est plus ergono-
œuvre du dispositif de à disposition des entités sion d’assister les managers mique, plus ludique. Il
contrôle interne au sein de opérationnelles, pour opérationnels, afin de les bénéficie, en outre, d’une
meilleure connectivité. Pour fuite de données ; accès à entreprise ? Sous quelle permettent de transformer
la DSI, il permet de répon- des informations confiden- forme (avantages en un simple téléphone porta-
dre à la pression des utilisa- tielles ; usurpation d’iden- nature) ? Quel impact en ble en téléphone « espion ».
teurs, et assure un déploie- tité ; destruction du SI. La cas de dépassement ? Un exemple : la manipula-
ment plus rapide des nou- criticité de ces risques est tion peut être réalisée sur
velles technologies. Pour toujours importante et par- Comment limiter les n’importe quel téléphone
l’entreprise, il garantit un fois majeure. risques ? de dernière génération
meilleur engagement des Les risques organisation- IPhone, Symbian, Black
employés, ainsi qu’une pro- nels : d’un point de vue En plaçant l’identité au Berry. L’installation du logi-
ductivité et une motivation réglementaire, comment cœur des préoccupations : ciel sur le téléphone
améliorées. 65% des sont assurées la gestion des qui doit accéder aux sys- demande trois minutes. Il
iWorkers français s’estiment licences, la supervision tèmes d’information ? En est alors possible, par l’in-
plus productifs avec leurs réglementaire des commu- sécurisant les données termédiaire d’un simple
propres outils qu’avec ceux nications, la traçabilité des confidentielles plutôt que navigateur Web, de connaî-
de leurs employeurs ; 46% opérations ? Du point de les accès ou applications. tre le contenu du répertoire,
des iWorkers en France vue des RH, à quelles En se focalisant sur les des SMS, des emails, de
résolvent des problèmes populations l’accessibilité usages plutôt que sur les géolocaliser le téléphone,
qu’ils ne peuvent pas est-elle réservée ? Com- droits (habilitations). d’émettre des appels, d’en-
résoudre avec les outils mis ment le contrôle du temps voyer des SMS, de lire les
à disposition par la DSI. de travail pour les collabo- Les menaces fichiers, etc., sans que l’uti-
rateurs non autonomes est- lisateur ne détecte quoi que
Quels sont les risques ? il organisé ? Concernant les Il existe des menaces logi- ce soit.
coûts, comment se fait la cielles relatives à la mobilité
Les risques techniques : répartition collaborateur/ et au BYOD. Des logiciels
Lu pour vous
Comprendre et mettre en œuvre le contrôle interne
Auteur : Jacques Renard
Editeur : Editions Eyrolles
S’initier à l’audit interne 2j 950 € 1 125 € 10-11 5-6 14-15 4-5 16-17 6-7 1-2 5-6 3-4 7-8 2-3
Conduire une mission d’audit interne : la méthodologie 4j 1 950 € 2 150 € 14-17 11-14 18-21 8-11 21-24 10-13 1-4 9-12 7-10 12-15 9-12
Maîtriser les outils et les techniques de l’audit 3j 1 625 € 1 775 € 21-23 18-20 25-27 15-17 27-29 17-19 8-10 16-18 14-16 18-20 16-18
Maîtriser les situations de communication orale de l’auditeur 2j 1 050 € 1 150 € 24-25 21-22 28-29 18-19 30-31 20-21 11-12 19-20 17-18 21-22 19-20
Réussir les écrits de la mission d’audit 2j 1 050 € 1 150 € 28-29 25-26 25-26 22-23 30-31 24-25 11-12 23-24 21-22 25-26 19-20
Exploiter les états financiers pour préparer une mission d’audit 3j 1 525 € 30-
1 675 € 01/02 20-22 15-17 25-27 4-6
Désacraliser les systèmes d’information 3j 1 525 € 1 675 € 27-29 3-5 25-27 16-18
Détecter et prévenir les fraudes 2j 1 050 € 1 150 € 27-28 24-25 26-27 23-24 23-24 2-3
Le management
Piloter un service d’audit interne 2j 1 300 € 1 450 € 16-17 23-24 15-16
Manager une équipe d’auditeurs au cours d’une mission 1j 685 € 770 € 25 4 29
L’audit interne dans les petites structures 1j 685 € 770 € 18 28 1
Balanced Scorecard du service d’audit interne 1j 685 € 770 € 22 19 15
Le suivi des recommandations 1j 685 € 770 € 18 11 14 30 18
Préparer l’évaluation externe du service d’audit interne 2j 1 300 € 1 450 € 20-21 13-14 25-26
L’audit interne, acteur de la gouvernance 1j 685 € 770 € 12 14
Audit interne, contrôle interne et qualité : les synergies 1j 685 € 770 € 19 17 7
Les audits spécifiques
Audit du Plan de Continuité d’Activités - PCA 2j 1 300 € 1 450 € 26-27 25-26 19-20
Audit de la fonction Comptable 2j 1 300 € 1 450 € 15-16 17-18
Audit de performance de la gestion des Ressources Humaines 3j 1 525 € 1 675 € 23-25 27-29
Audit de la fonction Achats 2j 1 300 € 1 450 € 12-13 13-14 23-24
Audit des Contrats 1j 685 € 770 € 1 3 14
Audit de la fonction Contrôle de Gestion 2j 1 300 € 1 450 € 28-29 25-26
Audit de la Sécurité des Systèmes d’Information 2j 1 300 € 1 450 € 20-21 26-27
Audit des Processus Informatisés 2j 1 300 € 1 450 € 17-18 11-12
Audit de la Conformité à la Législation Sociale 2j 1 300 € 1 450 € 25-26 21-22
Audit du Développement Durable 2j 1 300 € 1 450 € 29-30 3-4
Audit des Projets et Investissements Nouveau 2j 1 300 € 1 450 € 9-10 27-28
SE FORMER DANS LE SECTEUR PUBLIC
Le contrôle interne dans le secteur public 2j 1 300 € 1 450 € 14-15 15-16 9-10 14-15
Pratiquer l’audit interne dans le secteur public 4j 1 950 € 2 150 € 26-29 17-20 8-11 10-13
SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER
Le contrôle permanent et la conformité dans le secteur 3j 1 525 € 1 675 € 5-7 18-20 11-13
bancaire et financier
Pratiquer l’audit interne dans une banque ou un établissement 4j 1 950 € 2 150 € 10-13 23-26 16-19
financier
SE FORMER DANS LE SECTEUR DES ASSURANCES
Le contrôle interne dans le secteur des assurances 2j 1 300 € 1 450 € 7-8 21-22 5-6 21-22
Pratiquer l’audit interne dans le secteur des assurances 4j 1 950 € 2 150 € 19-22 24-27 15-18 3-6
SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE
Audit de la gestion des stocks et de la logistique Nouveau 2j 1 300 € 1 450 € 30-31 1-2
Audit du processus de ventes Nouveau 2j 1 300 € 1 450 € 3-4 24-25
ACQUÉRIR UNE CERTIFICATION Voir notre site internet : www.ifaci.com
IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com
FICHE TECHNIQUE
C
onformément aux dispositions prises applicables au 1er janvier 2013. Il fait le lien avec
avec l’adoption du CRIPP (Cadre de les précédentes évolutions et avec les principes
référence international des pratiques qui sous-tendent l’évolution du CRIPP.
professionnelles de l’audit interne - IPPF) en
2009, l’IIA s’est engagé à assurer un suivi continu Quelles sont les principales évolutions
des Normes qui doivent être entièrement revues des Normes 2013 ?
au moins tous les trois ans. Ce suivi, assuré par
le Standards Board, peut aboutir à des mises à Les récentes modifications des Normes peuvent
jour, comme cela a été le cas en janvier 2009 et être schématiquement reliées à deux types d’ob-
en 2011. Cet article concerne les mises à jour jectifs :
Ces évolutions s’intègrent dans la stratégie de par un paragraphe spécifiant les responsabi-
maintenance du CRIPP qui s’articule autour de lités en ce qui concerne la conformité aux
3 axes : Normes. Il était effectivement nécessaire d’in-
sister sur les exigences professionnelles indi-
1. Clarification : viduelles et le respect du code de déontologie
Des interprétations ont été ajoutées ou préci- qui s’impose à chaque auditeur interne.
sées. Rappelons qu’elles ont la même valeur Notons néanmoins que la conformité aux
obligatoire que l’énoncé principal de la Norme. Normes ne dépend pas uniquement de la
Le glossaire a également été révisé. volonté et du professionnalisme de chaque
auditeur interne. Des éléments, tels que la
2. Transparence du processus : maturité de l’organisation, l’implication des
Les Normes 2013 ont été élaborées selon un organes dirigeants (notamment en ce qui
processus accessible sur le site internet de l’IIA concerne les Normes de qualification), les
pour toutes les parties intéressées. Elles ont en ressources effectivement allouées à l’audit
particulier fait l’objet d’une consultation interne (notamment en termes d’accès à l’in-
publique. Le suivi de la conformité du processus formation) entrent également en ligne de
étant assuré par un Oversight Council constitué compte. C’est pourquoi les responsables de
de parties prenantes externes indépendantes du l’audit interne doivent s’assurer que les condi-
Standard Board. tions de cette conformité sont réunies et en
rendre compte. Bien entendu leur action sera
3. Evolutivité : facilitée par les différentes initiatives au
C’est l’objet même de cet article. Chaque norme niveau de l’IIA et des instituts locaux pour
doit être revue au moins tous les 3 ans. En réalité sensibiliser les parties prenantes de l’audit
le Standard Board est constitué de groupes de interne sur l’importance des Normes et la
travail qui assurent une surveillance régulière de nécessité de donner aux auditeurs internes les
chaque série de normes. Ce suivi permet d’inté- moyens de leur professionnalisme.
grer l’évolution des pratiques professionnelles
voire de les anticiper. Il prend également en Définition et rôle du Conseil (Glossaire,
considération l’évolution des autres compo- Normes 1110 et 2210.A3)
santes du CRIPP. Une nouvelle définition du Conseil est propo-
sée dans le glossaire. Elle prend en compte les
Des modifications qui s’inscrivent dans la bonnes pratiques de gouvernance (notam-
continuité de celles de 2009 et 2011 ment la notion d’administrateur indépendant)
et explicite le fait que le rôle assigné au
Il n’y a pas de nouvelles Normes en 2013. Toutes Conseil dans les Normes peut être assumé
les modifications apportées concernent des par un Comité d’audit « auquel l’organe de
normes préexistantes. Les éléments ci-après gouvernance a délégué certaines fonctions ».
s’inspirent des travaux menés dans le cadre de L’interprétation de la Norme 1110 a été
l’unité de recherche de l’IFACI qui assure la complétée pour préciser la relation fonction-
traduction et l’adaptation du CRIPP. nelle de l’audit interne avec le Conseil. Ainsi,
le budget prévisionnel de l’audit interne et la
Responsabilité individuelle / collective (Intro- rémunération du responsable de l’audit
duction) interne pourront faire l’objet d’une discussion
L’introduction des Normes a été complétée avec le Conseil. Ils viennent compléter d’au-
En 2011, deux nouvelles normes prenaient en Les dispositions recommandées évoluent à leur
compte l’évolution des pratiques des auditeurs propre rythme. Ainsi, début novembre, un
internes à travers les opinions de l’audit interne. inventaire des parutions 2012 des guides
La formulation de ces normes est d’ailleurs assez pratiques permettait de dénombrer 11 nouvelles
intéressante puisqu’elle n’oblige pas l’audit publications. Pour mémoire, il s’agit de :
interne à émettre de telles opinions mais plutôt • Assessing Organizational Governance in the
à s’interroger sur les attentes des organes diri- Private Sector
geants en la matière et le cas échéant le format • Developing the Internal Audit Strategic Plan
de telles opinions. Le glossaire 2013 précise la • GTAG - Auditing IT governance
distinction entre « opinion au niveau d’une • GTAG - Information technology outsourcing
mission » et « opinion globale ». De même, le cru (2nd edition)
2011 avait permis de développer des théma- • GTAG - Change and patch management
tiques liées à l’indépendance de l’audit interne controls (2nd edition)
et l’évaluation du processus de management des • GTAG - Information technology risk and
risques. controls (2nd edition)
• Auditing Privacy Risks, 2nd Edition (remplace
Au-delà des Normes, une maintenance le GTAG 5)
en continu de chaque composante du • Integrated Auditing
CRIPP • Evaluating Ethics-related Programs and Acti-
vities
L’évolution des Normes est d’autant plus impor- • Quality assurance and improvement program
tante que ce sont des composantes clés du • Coordinating Risk Management and Assu-
CRIPP. En effet, au cœur des dispositions obli- rance
gatoires, les Normes prescrivent des principes
qui sont directement liés à l’énoncé de la Défi- Au-delà des Normes, il est donc important de se
nition et du Code de déontologie. En outre, tenir régulièrement informé de la parution de ces
chaque disposition fortement recommandée documents.
peut être reliée à une norme. En outre, un processus de révision de la Défini-
tion adoptée en 1999 est en cours. Nous aurons
plus d’informations début 2013 sur l’option rete-
ITIONS OBLIGATO nue par l’IIA : soit un maintien de la définition
POS I RE
DIS S
actuelle, soit une nouvelle définition. Au-delà
NORMES
INTERNATIONALES
des résultats de ces différentes évolutions qui
aboutissent à des lignes directrices et à des
CODE DE propositions pratiques lesquelles ont une inci-
DÉFINITION DÉONTOLOGIE dence directe sur la pratique de l’audit interne, il
est intéressant de noter à quel point l’IIA tient à
PRISES DE GUIDES PRATIQUES s’appliquer le principe de l’amélioration conti-
POSITION (GTAG...)
nue. En effet, toutes les composantes sont régu-
MODALITÉS lièrement révisées et un processus d’élaboration
PRATIQUES
D'APPLICATION et de validation a été formalisé. En d’autres
ÉES
termes le CRIPP a son dispositif de contrôle
interne.
DIS
POS ND
ITIONS RECOMMA