L’ÉTHIQUE DANS LES ORGANISATIONS - Chapters Site ACI 219... · ou au Royaume Uni « UK Bribery Act », les multinationales françaises ont mis en place de véritables progammes

l a r e v u e d e s p r o f e s s i o n n e l s d e l ’ a u d i t , d u c o n t r ô l e e t d e s r i s q u e s

Dans l’actualité

Une actualité bien remplie

Idées et débats L’auditeur interne ne doit être ni

muet, ni complaisant, ni shérif

Le contrôle interne, dernier voletd’une démarche de gouvernance,risque et conformité dans le cadrede Solvabilité 2

Qu’est-ce qu’une véritable activitéde contrôle ?

Rencontre avec ...Il est dans la tradition de l’auditinterne d’être rattaché au directeurgénéral…

InternationalLe reporting intégré

Fiche technique

>> Chez Eurotunnel,nul ne peut ignorer l’éthique,disséminée à tous les niveaux

N°219Avril - Mai 2014

L’ÉTHIQUE DANSLES ORGANISATIONSOù en sontles groupes français ?

Rencontre avec ... p.15

Gérard Rameix,président de l’AMF

Gestion des Risques :Auditeurs internes, le comité d’auditet la direction générale comptentsur vous !

POUR EN SAVOIR PLUS ...

Rendez-vous sur le site internet de l’IFACI(www.ifaci.com)

à la rubrique « Carrière + Diplômes ».

Conc

eptio

n : e

bzon

e co

mm

unic

atio

n - P

hoto

: ©

Pat

y W

ingr

ove

- Fot

olia

.com

Norme 2120 – Management des risques : L'audit interne doit évaluer l’efficacité des processus demanagement des risques et contribuer à leur amélioration.

Afin de renforcer la capacité des auditeurs internes à exercer efficacement leurs responsabilités enmatière d’évaluation des processus de management des risques, l’IIA a développé la certificationCRMA (Certification in Risk Management Assurance).

Le CRMA est un examen de 2 heures, composé de 100 Questions à Choix Multiples. Il est conçu pourles auditeurs internes et les professionnels de la gestion des risques qui interviennent sur lespérimètres de l’évaluation des risques, sur les processus de gouvernance, sur l’évaluation de la qualitéet l’auto-évaluation des contrôles.

Marquez des points !Détenir le CRMA vous permettra de démontrer votre professionnalisme dans le domaine del’évaluation de la gestion des risques, et plus particulièrement votre capacité à :

évaluer la maîtrise des risques et la gouvernance des processus métiersde votre organisation ;

sensibiliser la direction et le comité d’audit aux concepts liés auxrisques et à la maîtrise des risques ;

vous centrer sur les risquesstratégiques de l’organisation ;

apporter encore plus de valeurajoutée à votre organisation.

3avril/mai 2014 - Audit & Contrôle internes n°219

La revue des professionnels de l’audit,du contrôle et des risques

n°219 - avril/mai 2014

EDITEURInstitut Français de l’Audit et du Contrôle Internes (IFACI)Association Loi 190198 bis, boulevard Haussmann75008 Paris (France)Tél. : 01 40 08 48 00 Mel : [email protected] : www.ifaci.com

DIRECTEUR DE PUBLICATIONFarid Aractingi

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

RÉDACTION - RÉVISIONJean-Loup Rouff - Béatrice Ki-Zerbo

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 01 40 08 48 02Mel : [email protected]

RÉALISATIONEBZONE Communication32, avenue de Beauregard94500 Champigny-sur-MarneTél. : 01 48 80 00 56Mel : [email protected]

IMPRESSIONImprimerie de ChampagneRue de l’Etoile de Langres - ZI Les Franchises52200 Langres

ABONNEMENTElsa Sarda - Tél. : 01 40 08 47 84Mel : [email protected]

Revue bimestrielle (5 numéros par an)ISSN : 2117-1661Dépôt légal : mai 2014Photos couverture : © Africa Studio - Fotolia.com

Prix de vente au numéro : 25 € TTC

Les articles sont présentés sous la responsabilité de leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle, faitesans le consentement de l’auteur, ou de ses ayants droits, ou ayantscause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40).Cette représentation ou reproduction, par quelque procédé que cesoit, constituerait une contrefaçon sanctionnée par les articles 425et suivants du Code Pénal.

Ce document est imprimé avec des encres végétalessur du papier issu de forêts gérées dans le cadred’une démarche de développement durable.

Dans ce numéro, Gérard Rameix, présidentde l’Autorité des Marchés Financiers, inau-gure une nouvelle rubrique de notre revue :

« Rencontre avec… ». Dans le long entretien qu’il abien voulu nous accorder, il passe en revue denombreux sujets d’actualité que je vous recommandede lire avec la plus grande attention.

L’un d’entre eux fait grand bruit aujourd’hui, en France et dans le monde « Le repor-ting intégré ». Tout un article lui est consacré, il précise les principes d’un toutnouveau référentiel élaboré par l’IIRC (International Integrated Reporting Council)devant permettre de mieux juger la valeur d’une entreprise, le reporting financierclassique apparaissant très largement insuffisant.

Au cours de cet entretien, la place et le rôle de l’audit interne dans les organisationsont été largement développés. A cela, fait écho l’interview de Bernard Field, acteurclé des premiers codes AFEP / MEDEF du gouvernement d’entreprise des sociétéscotées : « Il faut impérativement » nous dit-il « décrocher la direction de l’audit de ladirection financière, et la rattacher à la direction générale, c’est une conviction très forte,pour moi » ; et de préciser « il faut que la direction de l’audit soit un interlocuteur régulieret parfaitement reconnu par le comité d’audit comme le prévoit le code AFEP / MEDEF ».

Le dossier et la fiche technique sont consacrés à l’Ethique dans les organisations.« L’actualité nous fournit presque tous les jours des exemples de sociétés qui ne respectentpas certaines règles d’éthique » nous dit Antoine de Boissieu et il le prouve ;contraintes par les lois applicables aux Etats-Unis « Foreign Corrupt Practices Act »ou au Royaume Uni « UK Bribery Act », les multinationales françaises ont mis enplace de véritables progammes de prévention comme c’est déjà le cas dans certainspays ( voir l’exemple de Nordstrom exposé par Dominique Vincenti). L’arsenalrépressif français a par ailleurs été renforcé, comme l’explique maître Le Damany,avec notamment les lois de décembre 2013 qui ont modifié les règles de compétencejuridictionnelle en matière de délinquance économique et financière…Mais il restetoujours une interrogation « les hommes sont-ils plus vulnérables que les femmesen matière de corruption ? ». Certaines enquêtes nous en disent plus sur ce sujet.

Bonne lecture.

L’éthique dansles organisationsOù en sont les groupes français ?

Louis Vaurs - Rédacteur en chef

Contactez-nous :Tél. : 01 44 70 63 00

E-mail : [email protected]

Conceptio

n : ebzone communication - Photo : © Jakub Cejpek - Fotolia.com

Votre engagement pour+ de bonnes pratiques

+ de performance+ de légitimité

+ de sécurité

Progressez surdes bases solides

Le label de qualité et de performance CertificationIFACI est délivré aux services d'audit interne quiappliquent de façon pérenne les trente exigencespragmatiques du Référentiel Professionnel del'Audit Interne.


SOMMAIRE

DANS L’ACTUALITÉ DOSSIER

L’éthique dansles organisationsOù en sont les groupesfrançais ?

Une actualité bien remplieAntoine de Boissieu

6

p. 19 à 34

Les hommes sont-ils plus vulnérables que les femmesen matière de corruption ?Laura Desmoulins, Emmanuelle Fauquet,Christelle Marchisio

24

Le rôle de la fonction compliance (conformité)et ses interactions avec le management, le contrôleinterne et la fonction audit interneChristian Laveau

28

Être la conscience de l'entreprise :où sont les limites ?Richard Chambers

20

L’éthique chez Nordstrom : comment optimiserl’ensemble des rôles possibles de l’audit interneDominique Vincenti

31

Où en sont les groupes français face aux risquesde corruption ?Sylvie le Damany

21

RENCONTRE AVEC ...

Il est dans la tradition de l’audit interned’être rattaché au directeur général…Gérard Rameix

15

INTERNATIONAL

Le reporting intégréRuth Prickett

35

IDÉES ET DÉBATS

L’auditeur interne ne doit être ni muet,ni complaisant, ni shérifBernard Field

8

Le contrôle interne, dernier voletd’une démarche de gouvernance,risque et conformité dans le cadrede Solvabilité 2Oktay Engintalay et Hervé Larue

11

Qu’est-ce qu’une véritable activitéde contrôle ?Maxime Civel

13

LA PROFESSION EN MOUVEMENT

Evénements38

FICHE TECHNIQUE N°48

>> Chez Eurotunnel, nul ne peut ignorer l’éthique,disséminée à tous les niveauxChristopher Page

6

DANS L’ACTUALITÉ

Audit & Contrôle internes n°219 - avril/mai 2014

Une actualité bien remplieAntoine de Boissieu - Associé-gérant, OSC Solutions

L'actualité fournit presque tous les jours des exemples de sociétés qui ne respectent pas certaines règles d'éthique. Les journauxdes mois de mars et avril 2014 relevaient ainsi les cas suivants :

General Motors GM a rappelé près de 10 millions de véhicules pour des défauts de fabrication ; le groupe estaccusé d'avoir caché les problèmes pendant des années. Les défauts constatés pourraient avoircausé plusieurs dizaines de morts. GM a déjà provisionné 1,3 milliard de dollars pour cetteaffaire.

Toyota Toyota a été condamnée aux Etats-Unis à 1,2 Mrd de dollars d'amende, pour solder la cam-pagne de rappels de 2010 (là aussi de 10 millions de véhicules). L'amende est justifiée par le faitque Toyota aurait sciemment caché des informations aux enquêteurs ; le juge chargé de l'affairea qualifié le comportement de Toyota de « honteux ».

Citigroup Citigroup annonce que les amendes et transactions à l'amiable à la suite des subprimes s'élève-ront finalement à 60 milliards de dollars. Ce qui n'a pas empêché la banque de réaliser 14 mil-liards de bénéfices en 2013.

Bank of America La deuxième banque américaine annonce que le coût total des amendes et indemnisationsliées aux subprimes sera de 30 milliards de dollars.Toujours en mars 2014, Bofa s'est vu infliger 800 millions d'amendes et d'indemnités pour despratiques commerciales abusives concernant des cartes de crédit.

16 banques de premier plan 16 banques de premier plan sont poursuivies aux Etats-Unis et en Europe pour manipulation duLibor ; les premiers règlements à l'amiable et provisions rendus publics dépassent déjà les 6 mil-liards de dollars.

Novartis, Roche Les deux sociétés pharmaceutiques suisses ont été condamnées en Italie pour entente à200 M€ d'amende. Les faits incriminés étant similaires dans la plupart des pays de l'OCDE, cer-tains pourraient à leur tour ouvrir des enquêtes.

Anadarko / Kerr McGee Kerr McGee, rachetée depuis par le pétrolier Anadarko, a été condamné à payer 5 milliards dedollars d'amendes et de frais de dépollution. La société avait tenté de faire supporter ses passifsenvironnementaux par une filiale dont il s'était séparé, et qui a ensuite fait faillite.

Adidas, Nike 40 000 ouvriers chinois de l'un des principaux sous-traitants se sont mis en grève. Les ouvriersprotestent contre le fait que leur employeur n'a pas payé leurs cotisations d'assurance santé etaccidents du travail, et qu'ils se trouvent donc sans couverture. Les audits systématiques organi-sés par les grands donneurs d'ordre sur le respect du droit du travail et des droits des salariésn'avaient rien révélé...

Areva La justice française annonce l'ouverture d'une enquête sur le rachat d'Uramin. La société, quipossédait des gisements d'uranium (non exploités), appartenait vraisemblablement à desproches de l'ancien président sud-africain J. Zuma. Achetée 1,7 mrd€, elle a été entièrementdépréciée, ses gisements restent inexploités.

Hewlett-Packard HP a annoncé le versement de 108 millions de dollars pour mettre fin à des enquêtes aux Etats-Unis sur des cas de corruption en Russie, en Pologne et au Mexique.

Schaeffer, SKF, Nexans... La commission européenne a sanctionné deux cartels en mars 2014 : celui des fabricants deroulements à billes, pour 950 M€, et celui des fabricants de câbles, pour 300 M€.


Ces affaires sont toutes dif-férentes, certaines concer-nent des enquêtes en cours,qui ne révéleront peut-êtreaucun fait délictuel.

Quelques éléments sontcependant frappants : • Les mécanismes ne sontpas nouveaux : cartels etententes, dissimulation deproblèmes de qualité, pra-tiques commercialestrompeuses (des ban-ques), corruption à l'ex-port, rachats de sociétéssurévaluées, transfert depassifs environnementauxà des sociétés écran... : onaurait aussi bien pu illus-trer tous ces mécanismesil y a cinq ans, avec d'au-tres sociétés prestigieuses.

• Les montants en jeu com-mencent à être très élevés,puisqu'ils se chiffrentdésormais régulièrementen milliards.

• Les risques se situent clai-rement aux Etats-Unis, lescondamnations en Europeétant plus faibles et moinsfréquentes, même si lacommission européennecommence à être unacteur significatif.

• Les sociétés qui ont été lesplus durement touchéesne s'en portent apparem-ment pas plus mal. Ainsi,malgré les dizaines demilliards payés pour met-tre fin aux litiges liés auxsubprimes, à la manipula-tion des taux d'intérêt et àdiverses pratiques com-

merciales abusives, lestrois premières banquesaméricaines (JP Morgan,Citigroup et Bank ofAmerica) réalisent desbénéfices conséquents. En2013, elles affichent ainsiun résultat net de respec-tivement 18, 11 et 14 mil-liards de dollars. On peutdonc supposer que leurspratiques contraires àl'éthique ont été suffisam-ment profitables pour leurpermettre d'afficher untaux de marge élevé,même après amendes etdommages et intérêts.

On pourrait donc se deman-der si, au moins pour cer-taines des sociétés concer-nées, le jeu n'en valait pas lachandelle. Les décideurs ontainsi eu le choix à un instantdonné entre deux options :• Une option non-

éthique. Cette optionpermettait de réaliser desprofits certains, à brèveéchéance. Il n'y avait pas àimaginer des mécanismesnouveaux, mais simple-ment à suivre l'exempledonné par les concurrentsou des sociétés similaires.D'un côté donc, un gaincertain, élevé, en faisant cequi pouvait être vucomme étant une pratiquede marché.

• De l'autre, l'optionéthique. Cette optionimpliquait une perte d'op-portunité immédiate etélevée, qui pouvait même

se transformer en dés-avantage concurrentiel aucas où les concurrentsauraient eu moins descrupules.

Deux arguments pouvaientrééquilibrer la balance enfaveur de l'option éthique :1- Le risque d'une condam-

nation aux Etats-Unis,accessoirement enEurope, peut annuler toutle gain attendu à courtterme. Les impacts entermes d'image peuventaussi être significatifs,même s'ils restent hypo-thétiques au vu desexemples ci-dessus.Apparemment, cet argu-ment n'a pas pesé assezlourd. L'augmentationdes amendes et la miseen cause personnelle desdirigeants, de plus enplus souvent recherchéepar la justice américaine,pourraient cependantrééquilibrer la balance.

2- Le deuxième argumentréside dans la difficultépour les dirigeants à maî-triser les conséquencesen interne à long terme.Qu'ils soient renduspublics ou non, les com-portements contraires àl'éthique finissent parêtre connus en interne.Les dirigeants, s'ils onteux-mêmes montrél'exemple à ne pas suivre,risquent donc d'avoir dumal à long terme à moti-ver leurs équipes, ou à

imposer la discipline, larigueur, et le respect desrègles de fonctionnementinternes. Ce seraientdonc les effets indirectsqui seraient les plusgênants. On peut analy-ser ainsi les récentsdéboires de Toyota, forcéde rappeler 6 millions devéhicules en début d'an-née et qui peine à retrou-ver son statut deconstructeur ayant leniveau de qualité le plusélevé. De même, cer-taines banques de pre-mier plan, citées désor-mais dans une dizained'affaires différentes1,semblent avoir du mal àmaîtriser les initiatives deleurs équipes.

Les auditeurs et contrôleursinternes ne doivent pas êtrenaïfs face aux risques liés àl'éthique. On ne peut queleur recommander d'êtreattentifs aux nombreuxexemples fournis par l'ac-tualité, et de bien quantifierles risques encourus, ens'appuyant si besoin sur lesexemples publics.

1 Subprimes, saisies immobilières,perte de trading, manipulationdu Libor, entente sur le prix decertains produits, pratiques com-merciales abusives, complicité deblanchiment, aide à l'évasion fis-cale...

Le « Manuel d’Audit Interne – Améliorer l’efficacité de la gouvernance, du contrôle interne et du management desrisques » est l’ouvrage international de référence sur le métier d’auditeur interne. Élaboré sous l’égide de la fondationpour la recherche de l’IIA, il est le fruit de la collaboration de trois professeurs et de quatre praticiens. Son adaptationaux contextes européen et français a été réalisée par des universitaires et praticiens français réunis par l’IFACI, cequi en fait l’outil idéal pour les auditeurs internes, les étudiants en audit interne et leurs enseignants.

Manuel d’audit interne

Pour commander le manuel, rendez-vous sur le site Internet de l’IFACI : www.ifaci.com

8

IDÉES ET DÉBATS


Louis Vaurs : Depuis l’ordonnance du 8décembre 2008, le comité d’audit est devenuobligatoire pour beaucoup d’entreprises etson périmètre de responsabilités s’est élargi.Comment analysez-vous cette évolution quisemble s’aligner sur les pratiques anglo-saxonnes ?

Bernard Field : Il faut d’abord rappelerqu’en France la création d’un comitéd’audit dans les grandes entreprises aété vivement recommandée dès le pre-mier rapport Vienot, en 1995.

L. V. : On l’appelait à l’époque comité descomptes…

B. F. : Le terme d’audit, pour ce comitéd’administrateurs, paraissait inappro-prié, parce qu’on attend de l’audit, jus-tement – et vous êtes bien placés pourle savoir –, une proactivité, une capacitéd’investigation.

Or le comité n’a pas cette capacité d’in-vestigation. C’est pour cela qu’initiale-ment, on parlait de comité des comptes,terminologie qui est restée dans le codeAFEP-MEDEF jusqu’en 2010. Mais pro-gressivement « comité d’audit », large-ment sous votre influence d’ailleurs, estvenu supplanter dans la pratique l’ex-pression « comité des comptes ».

Pour répondre plus précisément à votrequestion, le comité d’audit a incontesta-blement, depuis lors, fait toutes ses

L’auditeur internene doit être ni muet,ni complaisant, ni shérifEntretien avec ...

Bernard Field, senior of counsel, cabinet CJA


preuves comme instance préparatoiredes travaux du conseil, dans lesdomaines qui sont les siens.

L’évolution que vous signalez a étéeffectivement consacrée par l’ordon-nance de fin 2008. En réalité, elletémoigne de la préoccupation grandis-sante, au fil des années, de ce que la fia-bilité des comptes ne relève pas unique-ment de la pertinence et de la perma-nence des méthodes comptables maisaussi de la qualité du processus de col-lecte et de remontée de l’informationfinancière, comme des systèmes decontrôle interne et de gestion desrisques.

Et, puisque vous m’interrogez surl’alignement sur des pra-tiques anglo-saxonnes, ildemeure une diffé-rence majeure avecles pratiquesanglo-saxonnes,qui ont suivi lamême évolution(voire l’ont pré-cédée). Lecomité d’audit, enFrance, est une ins-tance de préparationdes travaux du conseil,une instance consultative aubénéfice du conseil d’administration,ou de surveillance, mais il n’a aucunpouvoir décisionnaire pour l’arrêté descomptes individuels ou l’arrêté descomptes consolidés. Alors que, notam-ment aux Etats-Unis, le comité lui-même les arrête, et prend la décision aunom et pour le compte du conseil. Amon avis, ce n’est pas vraiment unebonne solution, parce que c’est le meil-leur moyen de « désengager » le conseild’administration de sa responsabilité ence domaine.

En France, on demeure sur la base d’uneinstance préparatoire consultative. Etc’est le conseil qui, lui, reste le décideuren matière de comptes. En termes deresponsabilité, ce n’est pas neutre.

L. V. : De quels moyens dispose le comitéd’audit pour assurer un tel suivi ? N’est-ce

pas trop ambitieux ? Ne confie-t-on pas aucomité d’audit des responsabilités particu-lièrement risquées ? Quel est votre point devue ?

B. F. : Ce sont, évidemment, des respon-sabilités particulièrement lourdes quisont confiées au comité d’audit, avecl’adjonction, depuis fin 2008, du suivi del’efficacité des systèmes de contrôleinterne, d’audit interne et de la gestiondes risques.

Ces responsabilités sont-elles porteusesde risques pour les administrateursmembres du comité ? Au sens banal du terme, elles sont ris-quées car ce sont des matières qui sonttrès complexes et évolutives. Il faut

donc, du côté des membresdu comité d’audit, unevraie déterminationet une vraie capa-cité à se former,s’informer, se re-former, se ré-informer… enpermanence.

Est-ce que, pourautant, elles sont

risquées au sens juri-dique du terme, c’est-à-

dire qu’elles soumettent lesmembres du comité d’audit à une

responsabilité juridique plus lourde quecelle des autres membres du conseil ?En principe, non.

L. V. : Mais en réalité…

B. F. : Très honnêtement, je suis assezconvaincu que, le jour venu, la jurispru-dence estimera qu’en effet, il existe uneresponsabilité plus lourde. Après tout,rien n’obligeait l’administrateur à accep-ter d’être au comité d’audit. Il y a éténommé en fonction de son expertise, desa compétence dans ces domaines. Et, leraisonnement pourrait être qu’il aaccepté à partir de ce moment-là de voirélargie sa propre responsabilité au casoù…

Aujourd’hui des voix se font entendrequi voudraient confier d’autres attribu-

tions au comité d’audit, en plus detoutes celles-là, notamment des attribu-tions extra-financières (RSE, etc.). Si leconseil et les membres du comité le veu-lent, pourquoi pas ? Mais je pense qu’ilne faut pas trop charger la barque ducomité d’audit, parce qu’il y a un risquede dispersion de ses efforts alors que lecomité se doit de rester concentré surses tâches premières et missions essen-tielles.

Un deuxième risque résulte de ce queplus on charge la barque du comitéd’audit, voire d’un autre comité, pluscela est susceptible de conduire au dés-engagement du reste du conseil. C’estune bascule qu’il faut éviter de faire.Il y a un point d’équilibre à trouver, c’esttoujours un peu compliqué.

L. V. : Depuis quelques années, se sontdéveloppés de nouveaux acteurs du contrôleinterne et de la maîtrise des risques, et l’ona assisté à la création de nouvelles direc-tions : direction du contrôle interne, direc-tion de la conformité, direction de la gestiondes risques, pour ne citer que les directionsles plus emblématiques.Comment analysez-vous ce phénomène ?Est-il lié à la crise ?

B. F. : Je mets à part les établissementsfinanciers, qui ont un régime particulier,et je n’ai pas d’expérience dans cedomaine.

Je ne date pas ce « phénomène » de lacrise car il remonte pratiquement audébut des années 2000, et on l’a vumonter en puissance progressivement.Sous quelle forme ? Sous forme d’at-tentes, pour ne pas dire d’exigences, dela part des investisseurs, d’autres partiesprenantes, parfois des salariés eux-mêmes, mais aussi des médias et desagences de notation. Cette confluenced’attentes et d’exigences s’est marquée,à partir du début des années 2000, deplus en plus fortement et a montréqu’investisseurs et parties prenantesn’attendaient plus seulement de l’entre-prise qu’elle développe ses activités etaccroisse ses résultats, mais qu’ellegarantisse également que le développe-ment de l’entreprise et l’accroissement

« Il faut impérativementdécrocher la direction de

l’audit de la directionfinancière »

10

IDÉES ET DÉBATS


des résultats s’opèrent dans un contexteà la fois intègre, respectueux de la loi,respectueux des valeurs de l’entreprise,et permettant la maîtrise des risques,notion qui a pris beaucoup d’ampleur.

Ce phénomène n’est donc pas lié à lacrise, au sens de la crise financière 2008-2009. En revanche, il est évident quecette crise n’a fait que l’accentuer etl’amplifier et a abouti à ce que les entre-prises qui, il faut le reconnaître, ont étéassez timides pendant longtemps sur cesujet, se sont décidées à se doter demoyens internes importants. D’où lafloraison des directions de contrôleinterne, audit interne, conformité,risques qui n’existaient pas auparavantet qui n’étaient pas forcément dans laculture des entreprises françaises.

Et aujourd’hui, les grandes entreprises,en tout cas, ne peuvent plus ignorer cesfonctions, parce qu’elles doiventdémontrer à leurs actionnaires et auxautres parties prenantes qu’elles ont faitet font le nécessaire pour satisfaire à leurobligation de moyens renforcée, pour nepas dire de résultat.

L. V. :Dans le milieu professionnel, on parlede plus en plus du modèle des trois lignesde maîtrise des activités. La première ligneest constituée des managers opérationnels ;la deuxième est constituée des services sup-ports et des fonctions de gestion des risques,de contrôle interne, d’assurance, de confor-mité… Cette deuxième ligne rapporte essen-tiellement à la direction générale. A la troi-sième ligne se trouve l’audit interne chargéde s’assurer du bon fonctionnement desdeux premières lignes. Ce modèle vousparaît-il présenter les plus grandes chancesd’une bonne maîtrise des risques ?

B. F. : Ce modèle de lignes de maîtrise,très pertinent, correspond à ce que doitêtre une bonne organisation, une bonnevision des choses. La ligne numéro 1, cesont les opérationnels ; la ligne numéro2, ligne de maîtrise, doit être proche dela ligne numéro 1 ; la ligne numéro 3doit, elle, avoir du recul. Elle doit s’assu-rer fondamentalement du respect desprocédures internes qui ont été arrêtéeset mises en place, et que tout est correc-

tement mis en œuvre. Elle a donc unemission de consolidation de l’ensembleau travers de la vérification du respectdes règles internes et du dispositif demaîtrise des risques.

L. V. : Le rattachement de l’audit interne estune question très sensible. Les normes pro-fessionnelles parlent d’un double rattache-ment à la direction générale et au comitéd’audit. Comment, selon vous, doit-onrépartir les rôles de chacun ?

B. F. : Il faut à mon avis impérativementdécrocher la direction de l’audit de ladirection financière, et la rattacher à ladirection générale. C’est une convictiontrès forte, pour moi, car c’est le meilleurmoyen de lui assurer les coudéesfranches dans ses activités et l’autoriténécessaire dans ses rapports avec lessalariés.

Si, aux Etats-Unis, la direction de l’auditest parfois rattachée au comité d’audit,c’est parce que le comité d’audit, commeje l’ai déjà dit, est une entité décision-naire en elle-même. En France, lecomité d’audit, instance consultative,n’est ni un organe permanent, ni unorgane décisionnaire.

En revanche, il faut que la direction del’audit soit un interlocuteur régulier etparfaitement reconnu par le comitéd’audit comme le prévoit le code AFEP-MEDEF.

L. V. : Pour être performant, le service d’au-dit interne ne doit être ni muet ni complai-sant. De quelles qualités doit disposer sonresponsable pour y parvenir ?

B. F. : Je rajouterais, à votre premièrephrase, ni shérif… Mais le patron del’audit doit bien entendu être déterminé.Il doit avoir une bonne connaissance del’entreprise et de ses rouages, et descompétences techniques. Il doit avoir lesens de l’écoute et ne pas méconnaîtreun certain nombre de réalités, difficultés,etc.

Les rapports d’audit doivent être fac-tuels et précis : ne jamais biaiser avec lesfaits.

L. V. : On parle beaucoup actuellement dereporting intégré, de responsabilité sociétaledes entreprises. Quel rôle pourrait-êtreamené à jouer l’audit interne en cesdomaines ?

B. F. : Ce sont en effet des sujets quiémergent de plus en plus. Par nature, cessujets sont transversaux en ce qu’ilsnécessitent la collaboration de plusieursdirections fonctionnelles de l’entreprise(DRH, direction juridique, directionfinancière, direction de l’environne-ment,…). L’audit interne a vocation àjouer dans ces nouveaux domaines sonrôle habituel en appui de ces direc-tions.

Bernard Field a d’abord étémagistrat au Parquet de Versailles,puis de Paris (section financière). Ila ensuite rejoint Saint-Gobain où ila exercé pendant de nombreusesannées les fonctions de secrétairegénéral et de membre du comitéexécutif du groupe. Au titre de sesfonctions de secrétaire général, il aété également secrétaire du conseild’administration de Saint-Gobainet de son comité d’audit.En parallèle, il a présidé la commis-sion juridique du MEDEF, été rap-porteur général du rapport ViénotII et du rapport Bouton sur le gou-vernement d’entreprise, membredu collège de l’AMF, et estaujourd’hui membre de la commis-sion des sanctions de l’AMF.A son départ de Saint-Gobain en2012, il est devenu avocat, actuel-lement senior of counsel au cabi-net CJA, et consacre son activitéaux questions de gouvernanced’entreprise.


Revue Audit & Contrôle internes :Pouvez-vous nous décrire les étapes de votredémarche pour la gouvernance et la maî-trise des risques ?

Oktay Engintalay et Hervé Larue : Ceprojet a démarré par la formalisation etla modélisation de nos processus, étapeindispensable avant de se lancer dans lacartographie et l’évaluation des risques.En parallèle, côté audit interne, la direc-tion générale a souhaité démarrer parun audit du département ressourceshumaines, avec 18 processus à auditer.Nous ne disposions alors que d’Excel.Très vite nous nous sommes aperçus deslimites de cet outil pour un tel projet,notamment lorsque nous souhaitionstravailler en cohérence entre les risques,le contrôle et l’audit interne. Nousavions besoin d’un référentiel d’entre-prise unique permettant de coordonnernos actions respectives. Depuis 2012, laMFA est donc utilisatrice des solutionslogicielles de MEGA pour la cartogra-phie de ses processus, l’évaluation desrisques et des contrôles et plus récem-ment l’implémentation du processusd’audit interne. La solution logiciellepour l’audit interne a pour objectif d’in-dustrialiser nos pratiques et automatiserla production du plan d’audit annuel.Selon le modèle des « 3 lignes dedéfense », vient s’ajouter à ce dispositifla mise en œuvre d’un outil de contrôle

interne, dernière étape pour une gou-vernance des risques complète.

RA&CI : Quels sont les enjeux d’un telprojet pour votre mutuelle ? Y a-t-il eu unélément déclencheur ?

O. E. et H. L. : La réglementationSolvabilité 2 est évidemment un desprincipaux éléments déclencheurs. Au-delà des exigences quantitatives de sol-vabilité, les exigences du pilier 2 sontcomplétées par une mise en conformitéen termes de gouvernance des risques etdes données. Cet aspect qualitatif s’esttraduit par la formalisation de nos pro-cessus métier, la cartographie et l’éva-luation des risques, la mise en œuvred’une démarche d’audit interne ainsique le contrôle interne. Un autre élé-ment important est la forte croissancede notre mutuelle, qui nécessitait de dis-poser d’une stratégie forte, étayée pardes analyses et tableaux de bord sur lefonctionnement des opérations.

Nous sommes d’ailleurs tous deux for-tement convaincus que les analysesfinancières ne peuvent à elles seulespermettre une prise de décision efficace.Une gouvernance opérationnelle estessentielle pour optimiser le fonctionne-ment et accroître la performance de sonorganisation.

Le contrôle interne, dernier voletd’une démarche de gouvernance,risque et conformité dans le cadrede Solvabilité 2Interview d’Oktay Engintalay, directeur des risques, et Hervé Larue, secrétaire général etresponsable de l’audit interne, MFA, Mutuelle Fraternelle d’Assurances

Oktay Engintalay

Hervé Larue

12

IDÉES ET DÉBATS


RA&CI :Vous allez mettre en œuvre le dispositif de contrôle interne :quels sont les résultats attendus ?

O. E. et H. L. : Le dispositif de contrôle interne doit assurer lebon fonctionnement des processus de l’entreprise, la fiabilitédes informations et garantir la conformité par rapport aux loiset aux règlements. Nous nous sommes fixés comme objectif deproposer à la direction générale des rapports de contrôle interneréduits mais fréquents, soit un par trimestre et non un par ancomme imposé par les normes de l’Autorité de Contrôle. Cesrapports devront présenter, d’une manière très visuelle à l’aidede graphiques, camemberts, les éléments notables tels que lesincidents majeurs, l’évaluation des risques et le plan d’action.

Par ailleurs, nous souhaitons disposer d’un rapport de contrôleinterne justifié et dont on peut conserver une trace, notammentpour la gestion des incidents. Pour que le dispositif soit efficace,les responsables opérationnels vont être impliqués dans cettedémarche, ils prendront en charge un certain nombre decontrôles. Ensuite, en fonction des résultats des contrôles, nouspourrons lancer des contrôles spécifiques.

Ce dernier élément complètera notre approche avec les 3 lignesde défense, pour constituer un ensemble structurant, qui per-mettra d’utiliser les contraintes réglementaires de Solvabilité 2comme un levier positif pour améliorer l’organisation de laMFA.

La MFA est l’une des premières mutuelles créées en France. Spécialistede l’assurance du taxi depuis 1930, la MFA couvre égalementl’ensemble des besoins des particuliers : assurance automobile ethabitation, complémentaire santé et assurance loisirs. La MFA, c’estaussi des solutions de financement et d’épargne-retraite.Sa particularité tient à sa dimension humaine et à son expérience quilui permettent d’entretenir des relations personnalisées avec sessociétaires et de développer une gamme de produits et servicesadaptée aux besoins de chacun. Fidèle à ses valeurs fondatrices, ellepropose à ses sociétaires le meilleur des services au prix le plus juste.La mutuelle dispose de 14 espaces d’accueil en France et a réalisé unchiffre d’affaires de plus de 53 millions d’euros en 2013, correspondantà un portefeuille de 138 000 contrats.


Dans son guide sur le COSO2013, le cabinet d’audit PwCprécise que « les activités de

contrôle sont souvent les premiers élémentsconcrets de contrôle interne mis enœuvre »1. Néanmoins, définir précisé-ment ce qu’est une activité de contrôlen’est pas évident, et cela malgré lesnombreux référentiels la définissant. Eneffet, les définitions existantes, même sielles sont clairement écrites, ne peuventpas répondre au niveau de détailsattendu par chaque service d’audit ou decontrôle interne du fait des caractéris-tiques de l’entreprise (secteur d’activité,taille, organisation…) et du niveau par-fois opérationnel d’une activité decontrôle. Il peut donc arriver que, lors del’identification et de l’évaluation desactivités de contrôle, les auditeurs et lescontrôleurs internes se demandent si ledispositif existant ou à mettre en placeest bien une activité de contrôle. Pour le savoir, des référentiels commecelui du COSO ou de l’Autorité des

Marchés Financiers (AMF) apportent undébut de réponse mais laissent unemarge d’interprétation et surtout despistes de réflexion.

Les définitionsd’une activité de contrôle

Le référentiel COSO est évidemmentparmi les référentiels les plus cités chezles auditeurs et les contrôleurs internespour définir une activité de contrôle.Depuis la création du COSO en 1992, ila régulièrement évolué : COSO « 2.0 »en 2004 et COSO « 1bis » en 2013.

Dans sa dernière version, la définitiondes activités de contrôle est la suivante2 :« Les activités de contrôle sont les mesuresénoncées dans les politiques et les procé-dures visant à assurer l’application desdirectives émanant de la direction en vued’atténuer les risques qui pourraient com-promettre l’atteinte des objectifs. Les activi-tés de contrôle sont exécutées à tous lesniveaux de l’entité, à différentes étapes desprocessus opérationnels et à l’égard de l’en-vironnement technologique. Il peut s’agir demesures de prévention ou de détection, quipeuvent englober diverses activitésmanuelles et automatisées, notamment lesautorisations et les approbations, les vérifi-cations, les rapprochements et les évalua-tions de la performance opérationnelle ».

Lors de ces évolutions, la définition estrestée globalement la même à la diffé-rence que dans la version 2013 duCOSO, les activités de contrôle sontdéclinées en 3 principes (principes 10 à12)3 : • principe 10 sur la sélection et le déve-loppement des activités de contrôleau sein de l’organisation ;

• principe 11 sur la sélection et le déve-

loppement des activités de contrôleen matière de système d’information ;

• principe 12 sur l’importance desdirectives et des procédures dans lamise en place des activités decontrôle.

Autre définition utilisée, celle del’Autorité des Marchés Financiers quidéfinit les activités de contrôles commeétant4 « proportionnées aux enjeux propresà chaque processus et conçues pour s’assu-rer que les mesures nécessaires sont prisesen vue de maîtriser les risques susceptiblesd’affecter la réalisation des objectifs. Lesactivités de contrôle sont présentes partoutdans l’organisation, à tout niveau et danstoute fonction qu’il s’agisse de contrôlesorientés vers la prévention ou la détection,de contrôles manuels ou informatiques ouencore de contrôles hiérarchiques. En toutétat de cause, les activités de contrôle doi-vent être déterminées en fonction de lanature des objectifs auxquels elles se rap-portent et être proportionnées aux enjeux dechaque processus. Dans ce cadre, une atten-tion toute particulière devrait être portéeaux contrôles des processus de constructionet de fonctionnement des systèmes d’infor-mation ».

Les définitions de l’AMF et du COSOsont proches et retracent les grandsprincipes de l’activité de contrôle : • maîtrise des risques affectant la réali-sation des objectifs ;

• prise en compte des directives ; • répondre aux objectifs ;• contrôle des systèmes d’information.

Une approche de l’activitéde contrôle à améliorer

Même si les principaux axes d’une acti-vité de contrôle sont indiqués dans ces

Maxime Civel

auditeur interne, groupe Macif

Qu’est-ce qu’une véritableactivité de contrôle ?

14

IDÉES ET DÉBATS


définitions, ces dernières semblent limi-ter les détails de la description du faitprobablement des risques et des problé-matiques spécifiques à chaque secteur.Béatrice Ki-Zerbo, directrice de laRecherche de l’IFACI, a également sou-levé ce point en indiquant que la partiesur les activités de contrôle du nouveauCOSO semble être la « moins innovantedu nouveau référentiel » du fait « qu’elleest inhérente à toute forme d’organisa-tion »5. Elle indique également que« cette approche pourra également êtrematière à progrès ». Il est donc importantde pouvoir déterminer ce qu’est vérita-blement une activité de contrôle car ilest du ressort de l’ensemble des acteurs(opérationnels, contrôleurs et auditeursinternes) de pouvoir l’identifier et d’enévaluer sa pertinence.

Des pistes de réflexionssur l’approche

La définition n’est donc pas encore sta-bilisée, ce qui laisse les auditeurs et lescontrôleurs internes face à la difficultéde discerner ce qui relève ou pas d’uneactivité de contrôle. Cette situation peutdonner lieu à des définitions différentesentre les auditeurs, les contrôleursinternes mais aussi avec les autresacteurs de l’entreprise, opérationnels oufonctionnels.

Le risque qui peut découler de cetteinterprétation est réel car il se peut queles activités de contrôle mises en placeau sein d’une organisation ne le soientfinalement pas. Lors de l’évaluation, ilapparaît primordial que les auditeurs etles contrôleurs internes se demandentdéjà si l’activité de contrôle qu’ils éva-luent est bien une activité de contrôlemais comment faire si les critères définisdans les référentiels ne permettent pasd’avoir une définition et une approchecommunes ? De plus, les activités decontrôle peuvent être multiples(manuelles / automatiques, préven-tives / correctives, etc.) ce qui augmen-tent le risque de confusion sur la défini-tion. Il faut donc des éléments complé-mentaires aux référentiels afin dedéterminer les véritables activités decontrôle au sein d’une entreprise :

• Définition commune et uniqued’une activité de contrôleCeci peut être considéré comme l’ob-jectif même de cette analyse mais ilapparaît important que la définitiond’une activité de contrôle soit à labase du dispositif. Il faut qu’elle soitcommune et unique à l’ensemble desacteurs de l’entreprise, internes ouexternes. Pour cela, un rapprochementdes acteurs est nécessaire afin d’iden-tifier les points de vue différents et infine de se caler sur une définitioncommune sur laquelle se baseront lesautres éléments.

• Lister les activités de contrôleEn complément de la définition, lesactivités de contrôle doivent être lis-tées pour faire office d’exemple. Aupréalable, elles doivent recevoir aminima l’agrément de l’audit et ducontrôle internes puis listées afin defaire ressortir celles qui feront officed’exemple. Lister ainsi des exemples concretsd’activité de contrôle en rapport avecl’activité de l’entreprise permettra auxauditeurs et aux contrôleurs d’identi-fier rapidement celles qui ne le sontpas mais également aux opérationnelsd’avoir une idée concrète de ce qu’estune activité de contrôle.

• Cartographier les activités decontrôleChaque activité de contrôle couvre unpérimètre du processus et les risquess’y rattachant. En cartographiant lesactivités de contrôle et en les rappro-chant de celle des risques, l’entrepriseaura une vision rapide et globale deszones couvertes ou non. De plus, cetravail de cartographie facilitera leséchanges entre les contrôleurs et lesauditeurs internes en donnant unevision commune de la maîtrise desrisques.

• Impacter le risqueAu préalable, le contrôle doit laisserune marque ou une preuve, définie etprécisée, de son exécution (pointage,signature, validation informatique…)afin de l’identifier et par la suite dedéterminer son impact. Ce dernier

point est difficile à appréhender car ilprend en compte de multiples sous-critères :- la fréquence : la fréquence ducontrôle doit être en rapport avec laprobabilité de survenance du risqueafin d’avoir un impact sur ce der-nier ;

- le volume d’éléments contrôlés :Si le contrôle traite l’exhaustivitédes éléments alors l’impact estmaximal sur le risque. Dans le cascontraire, l’impact du contrôle seralimité au prorata de la taille del’échantillon ;

- l’acteur du contrôle : le contrôleréalisé par une personne indépen-dante de celle qui effectue l’opéra-tion contrôlée aura un impact plussignificatif que dans le cadre d’unauto-contrôle.

Les points évoqués précédemment nesont que des pistes de réflexions afin decompléter les éléments existants.Néanmoins, il apparaît nécessaire quel’audit interne, le contrôle interne et lesautres acteurs participant à la maîtrisedes risques disposent d’une définitioncommune et listent les activités decontrôles qu’elles définissent en tantque telles afin d’en avoir une idée claireet précise.

Toutefois, il faut faire attention à ce quela vision commune n’écarte pas l’espritcritique et l’apport de nouvelles idéesdans l’évolution permanente des activi-tés de contrôle.

1 PwC, juillet 2013, COSO 2013 – Une opportunitépour optimiser votre contrôle interne dans unenvironnement en mutation, page 19.

2 KPMG, (2013), « cadre-de-2013-du-coso-web-v2.pdf », www.kpmg.com .

3 En complément des 3 principes évoqués dansl’article, 16 points d’attention sont précisés dansle COSO 2013.

4 Autorité des Marchés Financiers (AMF), (2010),« les dispositifs de gestion des risques et decontrôle interne – Cadre de référence », page 16.

5 Revue Audit & Contrôle internes, janv./fév. 2013,n°215, « Le nouveau COSO... et ses 17 principesfondateurs pour un contrôle interne efficient »,pages 15 à 20.


RENCONTRE AVEC ...

ses grandes lignes, au COSO. Il seraittoutefois assez logique d’envisager unemise à jour de notre cadre de référencecar nous avons intérêt à garder destextes actualisés. Certes, il n’y a pas d’ur-gence, en ce sens qu’une entreprise peuttoujours suivre la dernière version duCOSO ; nous n’y ferons pas objection.

L.V. : Si je me réfère à votre dernier rapport,le comité d’audit s’entretient très majoritai-rement avec la direction financière, 97 %, etavec la direction de l’audit interne, 95 %.Avez-vous une idée plus précise du rôle jouépar l’audit interne auprès du comité d’au-dit ? La compétence et le professionnalismedes auditeurs internes sont-ils reconnus etappréciés ?

G. R. : Les données brutes ne sont pastrès surprenantes. C’est logique qu’à la

Louis Vaurs : Dans le rapport de l’AMFsur les rapports des présidents pour l’exer-cice 2012, vous indiquez que les évolutionsrécentes du référentiel COSO 2013 pour-ront conduire à revoir le cadre de référencede l’AMF qui, je le rappelle, a été élaboré en2005/2007, en conformité avec le COSO.Où en êtes-vous aujourd’hui ? Les travauxde mise à jour ont-ils commencé ? Si non,quand envisagez-vous la constitution d’ungroupe de travail ad hoc ?

Gérard Rameix : Les travaux que nousavons effectués entre 2005 et 2007 sesont révélés très importants puisqu’ilsont abouti à l’élaboration d’un cadre deréférence de contrôle interne qui a ététrès largement accepté par les entre-prises cotées et bien au-delà de ces der-nières, je crois. Nous avons voulu que cecadre de référence soit conforme, dans

fois la direction financière et la directionde l’audit interne soient systématique-ment choisies comme interlocuteur pri-vilégié par le comité d’audit. Je considèreque la présence et l’action des comitésd’audit sont sans doute le phénomènemajeur de l’évolution de la gouvernancedes 10 à 15 dernières années. On ne dis-pose pas de données détaillées origi-nales sur l’opinion des membres descomités d’audit sur l’audit interne, pouraller très précisément dans le sens devotre question. En revanche, le fait qu’ilssoient des interlocuteurs jugés privilé-giés, laisse supposer que ce sont desinterlocuteurs compétents et appréciés.Jusqu’à présent, l’audit interne n’ajamais été mis en cause dans des affairesdifficiles.

L.V. : Les normes professionnelles exigentque l’audit interne soit, à l’intérieur desentreprises, une fonction indépendante, cetteindépendance se manifestant par un doublerattachement, hiérarchique à la directiongénérale, fonctionnelle au comité d’audit.Ce double rattachement vous paraît-il utile,nécessaire ?

G. R. : Le double rattachement est toutà fait souhaitable. Il est dans la traditionde l’audit interne d’être rattaché audirecteur général. La réglementation etla législation font peser sur le directeurgénéral des responsabilités importantesdans la gestion des risques et la gestiond’un bon système de contrôle interne. Ilest logique qu’il dispose d’un instru-ment qui lui soit rattaché. Le directeurgénéral doit s’appuyer sur le comité

Il est dans la traditionde l’audit interne d’êtrerattaché au directeur général…Rencontre avec ...

Gérard Rameix, président de l’AMF

L’AMF envisage-t-elle d’adapter son cadre de référence de contrôle interne auxapports nouveaux du COSO 2013 ? Le double rattachement de l’audit interne, hié-rarchique à la direction générale et fonctionnel au comité d’audit, est-il utile voirenécessaire ? La compétence et le professionnalisme des auditeurs internes sont-ilsreconnus et appréciés du comité d’audit ? Quel rôle pour l’audit interne et l’auditexterne vis-à-vis de l’information extra financière ? La réforme européenne de l’auditexterne va-t-elle apporter des bouleversements dans le fonctionnement du com-missariat aux comptes ? Le mécanisme de supervision unique pour la banque vientd’être créé, un tel mécanisme est-il envisageable pour la surveillance des marchésfinanciers ? Comment se répartissent les rôles entre l’ESMA et l’AMF ? Faut-il suppri-mer les pouvoirs de sanctions de l’AMF ?Autant de questions auxquelles le président de l’AMF, Gérard Rameix, a bien voulurépondre, et nous l’en remercions.

16

RENCONTRE AVEC ...


L.V. : Quel rôle joue l’AMF dans cedomaine ?

G. R. : La question s’est posée et je l’aifait débattre en collège afin de savoircomment l’AMF se situait par rapport àces données. Je rappelle que notre rôlesur les prospectus portant sur des don-nées de gestion et des données finan-cières est exigeant. Nous sommes res-ponsables de la complétude, de la cohé-rence et du caractère compréhensibledes données. Nous devons vérifier queles standards sont respectés, que toutesles données sont présentes. Et on feraitune erreur si on visait un prospectusavec des données significatives oubliées.Dans la jurisprudence française, on doits’assurer de la cohérence des données. Sinous ne sommes pas responsables de leurvéracité, nous avons le droit et le devoir dedéceler les incohérences et de poser auxentreprises les questions qui s’imposent.Le fait de prendre un champ qui nousest moins familier, sur lequel noséquipes sont moins compétentes, est unpas assez important. Toutes les per-sonnes qui ont participé au Grenelle etqui ont cherché à introduire des obliga-tions de données RSE dans les docu-ments ont cherché à s’appuyer sur l’ex-pertise de l’AMF. Il est vrai que noussommes le premier interlocuteur desdirections générales et des directionsfinancières, ainsi que des auditeurs,qu’ils soient internes ou externes, sur cesdonnées. Nous apparaissions donccomme un bon point de passage. C’estsans doute une bonne chose que lescommissaires aux comptes que nousconnaissons bien, avec lesquels noustravaillons beaucoup, puissent avoir laqualité d’OTI. Il y a les exigences d’auditet de non audit. Nous sommes a priorifavorables que ce soit des diligencesliées à l’audit, qui puissent donc êtrelibrement faites par les cabinets si l’en-treprise le leur demandait. Par ailleurs,on a décidé de faire de manière pério-dique un rapport, et d’avoir chez nous,à la direction de la régulation et desaffaires internationales, la DRAI, unepetite équipe qui se familiarise avec cesdonnées, qui collationnent toutes lesparties de rapports annuels, de docu-ments de référence ou de prospectus quitraitent de ces données, pour essayer defaire avancer la réflexion.

d’audit. C’est une sécurité pour lui.Le comité d’audit lui-même, en droit,n’a pas de pouvoirs propres : c’est leconseil d’administration qui les détient.Mais le fait que ce comité existe, qu’ilsoit présidé par une personnalité indé-pendante et compétente dans ledomaine concerné, donne une efficacitéet oriente les travaux à la fois du direc-teur général, de la direction financière etde la direction de l’audit. Il y a une dyna-mique. Plus le comité d’audit est actif,plus ça introduit du dynamisme à la foispour les professionnels de l’auditinterne dans une entreprise, et pour ladirection générale. Toutes ces sécurités sont bienvenues. Jene vois pas, là non plus, de contradic-tion.

L.V. : Quel poids respectif doivent avoir ladirection générale et le comité d’audit dansle fonctionnement de l’audit interne ?

G. R. : Il est difficile de peser le pourcen-tage d’influence du directeur général etdu comité d’audit. J’espère qu’elle s’ex-prime plutôt dans le même sens en réa-lité. Mais évidemment, beaucoup tient àla qualité du comité d’audit lui-même.Plus la présidence du comité d’audit estactive, et cela a été de nouveau réaffirmédans le rapport AFEP-MEDEF, plus ona de chances que ce comité soit influent,renforce l’audit interne et renforce l’at-tention que le directeur général luiporte.Le recrutement, la constitution deséquipes, les procédures, tout cela estdans la main du directeur général. Lecomité d’audit a un rôle de surveillanceet c’est un centre de pouvoir important.Mais il est au nom du conseil d’adminis-tration, lequel n’est pas directementopérationnel dans la conduite quoti-dienne des affaires.

L.V. : On parle beaucoup actuellement decertification des données extra financières.Quel rôle pour l’auditeur externe mais aussipour l’auditeur interne ?

G. R. : Les auditeurs externes sont assezsatisfaits d’avoir obtenu qu’il y ait unenorme d’exercice professionnel homo-loguée par la Garde des sceaux aprèsavis du H3C, sur la certification des don-nées extra financières. Je suis plutôt

favorable à cette solution. Je pense quel’auditeur externe a une proximité avecl’entreprise dans la durée, une expertise,des procédures. Et l’écarter de ce nou-veau rôle créé par la loi Grenelle 2,d’avoir une certification des donnéesextra financières, aurait sans doute étéune erreur. Maintenant, l’entreprise estlibre d’avoir recours à un organisme tiersindépendant (OTI) qui ne soit pas soncommissaire aux comptes. Ou bien, ellepeut, avec une sécurité juridique désor-mais totale, avoir recours à son commis-saire aux comptes.

L.V. : Cela va-t-il vraiment jusqu’à la cer-tification ?

G. R. :Non, ce n’est pas une certificationau sens comptable. La loi parle de véri-fication des données par un OTI avecune attestation de présence de ces infor-mations et un avis sur leur sincérité. Ils’agit d’une part de donner une assu-rance de présence et de complétude,assez proche de ce que nous donnons,lorsque nous visons des prospectus.L’OTI, qui peut être un des commis-saires aux comptes (CAC) de la sociétédoit également d’autre part donner unavis sur la sincérité des informationsextra-financières. La norme d’exerciceprofessionnelle pour les CAC publiée fin2013 peut paraitre exigeante. Pourautant, elle est importante car le CACapprécie le caractère approprié des prin-cipes ou procédures ou, le cas échéant,du référentiel retenus par l'entité pourétablir les informations RSE objet del'attestation. Une telle intervention peutêtre considérée comme un peu exigeantpar certaines entreprises. D’autantqu’elle n’était pas encore jusqu’à récem-ment obligatoire. Mais il y a déjà desentreprises qui ont devancé l’obligationsouhaitant fiabiliser les données com-muniquées aux marchés. D’ailleurs,pour les sociétés dont les titres sontadmis aux négociations sur un marchéréglementé, les obligations de publica-tion et de vérification avec productiond’une attestation et d’un avis par unorganisme tiers indépendant sont plei-nement applicables pour les exercicesclos au 31 décembre 2013, l’année 2012ayant été analysée comme une année detransition.


G. R. : Cette réforme a été très longue etdifficile à mettre au point, mais le résul-tat nous convient. Il préserve certainescaractéristiques particulières du systèmefrançais auxquelles l’AMF était attachée,notamment le double commissariat auxcomptes. Pour le reste, sur la rotation,c’est une solution plutôt modérée qui aété retenue.

Les commissaires aux comptes étaient,au départ, assez hostiles à toute idée derotation. Ils acceptaient certes la rotationdes signataires qui reste possible par letexte, ce qui, à mon avis, est quandmême la priorité mais ils étaient beau-coup plus réticents sur la rotation descabinets d’audit eux-mêmes. Forcé-ment, ils militent en faveur d’une entréeen vigueur la plus progressive possible.Je ne pense pas que ce soit majeur, surle fond. On avait fait il y a 10 ans uneréforme importante sur la relation entrel’audit et le conseil. Je pense que c’est unsujet plus important que la rotation. Lefait qu’un auditeur puisse compléter ses

L.V. : Quel rôle pour l’audit interne ?

G.R. : Je suppose que le directeur géné-ral va avoir la même dialectique qu’avecles autres informations. Dans un soucide complétude, de cohérence et de sin-cérité, il est vraisemblable que le direc-teur général ou la directrice générale,s’ils ont des doutes, chercheront à étayerle système de recueil de données par lesméthodes classiques, notamment en fai-sant appel aux auditeurs internes.

L.V. : Comment voyez-vous la complémen-tarité des auditeurs internes et des audi-teurs externes et leur nécessaire coopérationau sein des entreprises ?

G. R. : Je suis assez prudent sur ce sujetparce que nous ne sommes pas dans lesentreprises. C’est vraiment un sujet, audépart, interne à l’entreprise. Ce qui estsûr, c’est que le commissaire auxcomptes commence toujours sa missionpar une évaluation du dispositif de trai-tement et de recueil des données.

Comme c’est une mission clé de l’auditinterne, je suppose qu’il y a là un terrainde collaboration très important. Ladeuxième remarque, puisqu’on a un rat-tachement fonctionnel, tant de l’auditinterne que de l’audit externe, au comitéd’audit, c’est assez logique qu’il y ait unesynergie à ce niveau-là. S’il n’y a pas deproblème du côté du management del’entreprise, il n’y a pas de conflit d’in-térêt entre les deux. Au contraire, l’unpeut donner des assurances à l’autre.

De même, quand ils accomplissent leursdiligences, ils ont tendance à privilégierles zones pour lesquelles ils estimentque le système de contrôle est plus fai-ble. C’est logique. Je n’ai jamais entenduparler de difficultés. Encore une fois,c’est un sujet interne à l’entreprise.

L.V. : Comment considérez-vous la réformeeuropéenne de l’audit externe ? Ne va-t-ellepas apporter des bouleversements dans lefonctionnement du commissariat auxcomptes en France ?

18

RENCONTRE AVEC ...


services d’une façon qui finisse pasmenacer son indépendance tant elle estimportante nous a fortement interpelé.je rappelle que nous avons été les pre-miers dans le cadre de la loi de 2003, àobliger les entreprises à publier le ratio ;part du non audit par rapport à l’audit.Dans le cadre de la réforme européenne,il serait prévu une liste de prestationsinterdites, qui est assez large, assezconforme à ce qu’on fait en France. Jepense que c’est une bonne solution. Ilreste – et on ne l’a pas encore fait – àarticuler l’évolution de notre systèmefrançais avec cette liste de prestationsinterdites.

L.V. : Un mécanisme de supervision uniquepour la banque vient d’être créé dans lazone euro. Peut-on envisager la même chosepour les autorités des marchés financiers ?L’ESMA pourrait-elle être cette nouvelleautorité ?

G. R. : Dit comme ça, non, cela ne meparaît pas très réaliste. On s’oriente plu-tôt vers la poursuite et l’amélioration dumodèle existant avec l’ensemble desEtats de l’Union européenne, et unebonne complémentarité avec les autori-tés nationales.Je suis très favorable au rôle de l’ESMA.J’y consacre d’ailleurs personnellementune part significative de mon temps, entant que membre du Board of supervisors,membre du management board et en tantque président du standing committee ofcorporate finance. Je suis favorable à ceque l’ESMA à la fois harmonise lesrègles et les interprétations. Et qu’elles’assure réellement d’un level playingfield au niveau européen sur l’applica-tion de toutes les normes d’informationfinancière, de discipline des profession-nels et des intermédiaires financiers.

L’ESMA est la seule des trois autoritéseuropéennes – assurances, banques etmarchés financiers – à avoir des pou-voirs propres. Ces pouvoirs directs,d’une certaine façon, se sont substituésaux compétences nationales dans cesdomaines. Mais c’est encore trèsembryonnaire. Ça concerne deuxdomaines : les agences de notation quisont enregistrées au niveau européen etnon plus au niveau national, et ce qu’on

appelle les trade repositories, les instancesd’enregistrement des données sur lescontrats de dérivés, et qui sont agrééesau niveau européen.

L.V. : L’ESMA donne l’impression de nepas s’intéresser aux systèmes de contrôleinterne et de maîtrise des risques des entre-prises contrairement à l’AMF. Est-ce biennormal ?

G. R. : Vous avez raison. Je pense quec’est une zone de progrès qui est beau-coup plus aisée que la réforme structu-relle que vous visiez dans votre questionprécédente. La prudence de l’ESMAvient de deux raisons. D’abord, du faitque c’est une maison très jeune, enpleine croissance, et qui n’a pas encoreles compétences dans tous lesdomaines. Elle s’est focalisée en prioritésur les mandats qui lui ont été confiéspar la Commission européenne, pourrédiger des standards sur des sujetsdavantage d’actualité. Et ce n’était pasles sujets d’audit interne ou de contrôleinterne en général. La deuxième raison,plus profonde, c’est qu’il n’y a pasconsensus des superviseurs de l’ESMAquant à leurs compétences sur les don-nées comptables stricto sensu, indépen-damment des données de contrôleinterne qui sont encore plus larges.Quelques pays, assez rares, sont un peusur le modèle américain, dans lesquelsle régulateur de marché a vraiment lamain sur les normes comptables, surleur respect, la vérification des donnéescomptables, des prospectus, etc. LaFrance est assez proche de ce modèle-là.

En bref, sur les sujets purement comp-tables, les approches divergent, et lesnormes d’audit interne sont loin despréoccupations du moment.

L.V. : Peut-être une toute dernière questionsi vous me le permettez. Faut-il supprimerles pouvoirs de sanctions de l’AMF commed’ailleurs ceux de l’ACPR comme le suggèreun article paru dans la revue Banque dejanvier 2014, en les transférant au pouvoirjudiciaire ?

G.R. : J’ai lu avec intérêt cet article et nesuis pas favorable à la proposition qui

est faite. L’AMF défend au niveau euro-péen, la dualité du système de sanc-tions : à la fois le système judiciaire et lesystème administratif. Nous privilégionsmême le système de sanctions adminis-tratives parce que nous le jugeons beau-coup plus efficace et conforme au tempsdes marchés. On peut faire deux objec-tions techniques aux conclusions de cetarticle.

La première, c’est qu’il n’est pas sûr – jesuis même un peu persuadé ducontraire – qu’on ait au niveau judiciairela base juridique pour sanctionner tousles manquements. Pendant les 20 pre-mières années de sa vie, la COB faisaitdes enquêtes puis les transmettait auParquet. Elle les faisait sur les troisgrands délits boursiers. Quand il y avaitdes défauts plus techniques sur les fran-chissements de seuil, sur des défauts desystème de contrôle, de manquementen termes de blanchiment, elle étaitassez désarmée. Donc, quand vousregardez les sanctions, vous en avez unepartie que l’article ne met pas en cause,qui sont dans le domaine des délitsboursiers, où le régulateur agit parallè-lement à l’intervention éventuelle de lajustice. Mais il existe toute une séried’infractions, et la plupart de celles quiconcernent les entreprises de gestion,d’investissement, les intermédiairesfinanciers qui sont sanctionnées pourdes raisons qui n’intéressent guère lesjuridictions répressives.

La deuxième raison, c’est que mêmepour des infractions majeures, le sys-tème judiciaire est extrêmement lent. Ilmet en moyenne 8 à 10 ans pour traiterun sujet. Donc, lui demander de s’inté-resser à des infractions plus techniques,c’est hors de propos. Là où l’auteur del’article a raison c’est qu’il faut faireattention à sanctionner des défauts decontrôle interne, des défauts de systèmeanti blanchiment lorsqu’il y a vraimentun défaut caractérisé. Car comme lanorme est très générale et la matière esttrès technique, une fois que le régulateura sanctionné, le juge d’appel hésitebeaucoup à contredire les techniciensque nous sommes.


DOSSIER

L’éthique dansles organisationsOù en sont les groupes français ?

Les hommes sont-ils plus vulnérables que les femmesen matière de corruption ?Laura Desmoulins, Emmanuelle Fauquet,Christelle Marchisio

24

Le rôle de la fonction compliance (conformité)et ses interactions avec le management, le contrôleinterne et la fonction audit interneChristian Laveau

28

Être la conscience de l'entreprise :où sont les limites ?Richard Chambers

20

L’éthique chez Nordstrom : comment optimiserl’ensemble des rôles possibles de l’audit interneDominique Vincenti

31

Où en sont les groupes français face aux risquesde corruption ?Sylvie le Damany

21

20

DOSSIER


Mon collègue et camarade blogueur surInternalAuditorOnline, NormanMarques, a récemment écrit que « lesauditeurs internes doivent être courageux »,ce qui veut dire qu'ils ne doivent pashésiter à dire les choses qui ont besoind'être dites, même s'ils risquent d'êtreconfrontés à des représailles.Cela m'a rappelé un article de « Tone atthe Top » de novembre 2009, l'année oùje suis devenu président / délégué géné-ral de l'IIA. Cet article, qui s'intitulait« Qu’avez-vous sur la conscience (en tantqu’entreprise) ? », étudiait le rôle desauditeurs internes pour s’assurer ducomportement éthique d'une entre-prise.

J'ai déjà parlé auparavant dans monblog des responsabilités des auditeursinternes par rapport à l’éthique. En avril2013, j'ai discuté des « sept attributs duresponsable de l’audit interne enmatière d’éthique », en disant qu'à monavis, les responsables de l'audit interneétaient « proactifs » sur les questionsd’éthique. J'ai souligné que « cela pouvaitcorrespondre au caractère caché de l'éthique ;celui auquel peu de gens pensent. Si vous

agissez uniquement de façon réactive, vousne remplissez qu'une partie du contratéthique. Alors que l'honnêteté et le couragevis-à-vis des actes antérieurs sont impor-tants, il est tout aussi important de garderun œil sur l'avenir et de rapporter avec hon-nêteté et courage la manière dont certainessituations peuvent être évitées. En agissantde manière proactive, vous présentez lesaspects les plus profonds de l'éthique – tra-vailler pour s'assurer que les choses vontbien, avant qu'elles puissent aller mal – ».En novembre dernier, j'ai posé unequestion rhétorique : « Les auditeursinternes doivent-ils accepter que les chosessoient compromises avant même d’être exé-cutées ? ». J'ai discuté des différents rôlesqu'un auditeur interne peut jouer dansce que j'ai appelé le « continuuméthique ». Le rôle ambitieux que je croisque nous devrions tous être en mesurede jouer dans ce continuum est celui dela conscience de l’entreprise.Tout cela paraît assez simple. Siquelqu'un fait ou va faire quelque chosede mal, nous devons en parler très tôt.Mais est-ce vraiment tout blanc ou toutnoir ?Je pense que nous serons tous d'accordpour dire que nous avons l'obligationmorale de rapporter des activités illé-gales, des défaillances dangereuses, etdes défauts. Mais que se passe-t-il sivotre entreprise génère du chiffre d'af-faires à partir d'un produit ou d'un ser-vice parfaitement légal qui, lorsqu'il estutilisé comme prévu, constitue un risqueavéré pour la santé ? Quelle est votreobligation morale et éthique ? Quelle estvotre obligation en tant que partie de laconscience de l'entreprise ?Que se passe-t-il si ce n'est pas votreproduit, mais le procédé de fabricationou les conditions de travail de votreentreprise qui créent ce risque pour lasanté ? Peut-être ne s'agit-il pas d'unproblème au sein de votre entreprise,mais d'un problème venant d’une tiercepartie avec laquelle vous avez un contrat

de sous-traitance de biens ou de ser-vices.À quel moment les auditeurs internesont-ils l'obligation morale de parler aunom de ce qui est bien pour l'entrepriseet pour le plus grand nombre, même sicela va à l'encontre des pressions enfaveur de la rentabilité et de la créationde valeur pour les actionnaires ?Je ne parle pas des questions qui ont étéposées et auxquelles on a répondu. Ilserait absurde, par exemple, pour unauditeur interne d'une entreprise detabac, de prendre position contre letabac.Je parle des cas dans lesquels une entre-prise peut envisager de créer une nou-velle ligne d'activités, ou peut-être d'ac-quérir une entreprise, ou de conclure uncontrat avec un fournisseur dans unpays déchiré par la guerre. Le risquemoral doit être pris en considération,non seulement pour protéger l'entre-prise des éventuelles atteintes à sa répu-tation, mais aussi parce que c'est labonne chose à faire.Il est bien établi que le meilleur moyende dissuasion contre la fraude, la corrup-tion et le compromis éthique est d’avoirune solide culture de l'éthique, et que ladirection donne le ton en imposant ungrand sérieux en la matière.

Norman Marques a raison : les audi-teurs internes doivent se montrer vrai-ment courageux pour défendre ce quiest juste. Cela fait aussi partie de notretravail d'auditeurs internes. En tant queprofession, il nous incombe de défendrele droit d'être entendu sur les questionsde risques éthiques et moraux. Pour fairepartie intégrante de la conscience del’entreprise, nous devons être guidés parnos propres principes moraux.

Qu’en pensez-vous ? Est-il normal d’at-tendre des auditeurs internes qu’ilssoient la conscience de l’entreprise ?Jusqu’où devons-nous aller ?

Richard Chambers, CIA, CGAP,CCSA, CRMA

Président, The IIA

Être la conscience de l'entreprise :où sont les limites ?

21

L’éthique dans les organisations

avril/mai 2014 - Audit & Contrôle internes n°219

Il est intéressant de faire un pointd’étape sur l’évolution de l’orga-nisation des entreprises et plus

particulièrement françaises enmatière de lutte contre la corruptioninternationale, de prévention durisque d’entente illicite et, plus large-ment, à l’égard des comportementsnon éthiques qui sont sanctionnés demanière accrue par les autorités judi-ciaires et administratives indépen-dantes compétentes dans les paysconcernés.

Les entreprises qui sont exposées à lacorruption internationale sont sensibili-sées sur ces sujets et, plus particulière-ment, leurs dirigeants, néanmoins,

celles-ci appréhendent difficilement lesréglementations étrangères qui leur sontapplicables. Les entreprises sontconfrontées à la difficulté de mettre enplace une gouvernance adaptée qui per-mettra de veiller au bon respect desrègles et normes « non négociables ». Lasanction des comportements internesnon conformes à une conduite éthiquedes affaires est un sujet complexe à trai-ter dans les groupes qui rejettent lesapproches trop manichéennes. Cela étant, il faut dire ce que l’on fait etfaire ce que l’on dit… sinon on court àla catastrophe sur des sujets aussiimportants que celui de la corruption.Le risque de commission d’actes de cor-ruption est loin d’être nouveau mais cequi est récent ce sont les moyens mis enœuvre pour combattre des pratiques quel’on juge désormais contraires à labonne conduite des affaires et au déve-loppement durable des activités de l’en-treprise. La responsabilité sociale del’entreprise n’est pas compatible avec lescomportements non éthiques et notam-ment dans les activités de commerceinternational.Ce risque éthique demeure un risquemajeur pour toutes les entreprises etleurs dirigeants. Certes, l’exposition au

risque est plus forte pour les activitésdéveloppées dans certains secteurs.C’est ainsi que des index utilisés pourmesurer l’exposition au risque de cor-ruption, tel celui de Kepler Cheuvreux,font apparaître que le secteur de la santéest très exposé à la corruption, toutcomme celui de l’industrie pétrolière etgazière, sans oublier le bâtiment, ladéfense et, identifié plus récemment, lesecteur du sport qui n’échappe pas mal-heureusement à la corruption... A cela, il convient d’ajouter les zonesgéographiques dans lesquelles les pra-tiques de corruption sont « monnaiecourante », à un tel point que certainsgroupes ont renoncé à s’y installer. Comme nous le savons, les sanctionsfinancières prononcées, lorsque l’entre-prise se trouve impliquée dans de tellesaffaires, peuvent atteindre des montantsvertigineux et, sur le plan de la réputa-tion, l’impact est souvent violent notam-ment pour le cours de bourse et toutesles parties prenantes. Dans un autredomaine qu’est celui des ententes pro-hibées, les montants des sanctionsfinancières prononcées peuvent égale-ment coûter très cher aux entreprises.Les sanctions peuvent atteindre descentaines de millions d’euros.

Le risque éthique n’est pas nouveau : il s’amplifie. C’est le risque majeur pour toutesles entreprises, avec des expositions plus ou moins fortes dans certains secteurs :santé, industrie pétrolière, bâtiment, défense, sans oublier le sport. Et pourtant lessanctions financières peuvent atteindre des centaines de millions d’euros. Face auxrisques que les entreprises ne peuvent plus négliger, et face à une réglementationqui se durcit sans cesse, les groupes français évitent systématiquement certaineszones géographiques, situation malsaine et qui ne peut s’éterniser.

Sylvie Le Damany

Avocat, associée, CabinetJeantetAssociés

Où en sont les groupesfrançais face aux risquesde corruption ?

22

DOSSIER


Cela étant, en matière de corruption,l’OCDE reproche à la France d’avoir unelégislation trop restrictive notamments’agissant de la notion d’agent publicétranger et de ne pas mettre tout enœuvre pour sanctionner les faits répré-hensibles. Il est exact que les sanctionsprononcées en France en la matière sontrares. On pointe du doigt notammentl’insuffisante indépendance du Parquetet l’absence des moyens accordés auxtribunaux et plus particulièrement auparquet financier du TGI de Paris (cf. lestravaux d’ANTICOR et de TransparencyInternational). L’OCDE a néanmoinsreconnu en 2012 les efforts faits par laFrance pour assurer la pleine indépen-dance du Parquet en la matière et souli-gné l’avancée qui a été faite avec notam-ment l’introduction des alertes que lessalariés peuvent lancer en présenced’actes de corruption (cf. site internet del’OCDE).Face à ces risques que les entreprises nepeuvent plus se permettre de négliger,et face à une réglementation qui va ense durcissant au niveau mondial, appli-quée au moyen de sanctions de plus enlourdes, les groupes français qui sedéveloppent à l’étranger ont revu pourla plupart leur stratégie, notamment enévitant de faire du commerce dans cer-taines zones géographiques du mondeet de faire appel à certains acteurs auxpratiques douteuses. Mais cela n’est pastoujours possible.Pour les plus matures sur ces sujets decorruption et d’ententes illicites, elles sesont organisées pour mettre en place devéritables programmes de prévention,soit parce qu’elles y ont été contraintesde par la loi applicable (aux Etats-Unis,le FCPA, au Royaume Uni le UK BriberyAct.), voire suite à la survenue d’unecrise, soit de manière volontaire dans lecadre d’une politique globale de confor-mité pilotée le plus souvent par desCompliance ou Ethics Officers. Il s’agit là de bonnes pratiques qui sedéveloppent depuis récemment au seindes entreprises françaises ayant uneactivité internationale significative. Cesbonnes pratiques, qui privilégient la pré-vention, risquent de devenir à terme uneobligation, au même titre que celle derespecter un Code de gouvernementd’entreprise (AFEP / MEDEF ou

Middlenext) pour les sociétés cotées,faute de quoi il faudra être en mesured’expliquer le non respect de certainesrègles et recommandations (comply orexplain). Cela signifie la mise en place d’outilsdits éthiques tels que les codes de bonneconduite des affaires qui sont désormaisindispensables. Mais ceci n’est plus suf-fisant. Les sociétés qui traitent des mar-chés avec des clients situés outre atlan-tique voire outre manche le savent bien.Celles-ci se voient confrontées à lanécessité de montrer patte blanche…L’existence d’un c ode de conduite desaffaires ou d’une charte éthique ne suffitplus à rassurer certains cocontractants.Il faut pouvoir démontrer qu’il est dif-fusé à tous les collaborateurs du groupeou, à tout le moins, à ceux concernés parles sujets sensibles ; qu’il est compris etrespecté et que des sanctions sont pro-noncées en cas de violations des règleset normes édictées. Autrement dit, il fautpouvoir prouver une traçabilité desactions préventives menées, des forma-tions assurées, etc. Aujourd’hui, les entreprises ne doiventpas seulement avoir diffusé une charteéthique ou un code de bonne conduitedes affaires, il faut pouvoir démontreraux parties prenantes et surtout à unejuridiction répressive ou une autoritéadministrative indépendante françaiseou étrangère que tout a été mis enœuvre pour sensibiliser et former lescollaborateurs sur les comportementsinterdits, non tolérés tels que les actesde corruption. Cela pose la question dela traçabilité des actions menées au seinde l’entreprise et celle de la gouvernanceà mettre en place. Le dossier se présen-tera différemment devant un juge si l’ona ou pas mené les actions préventivesnécessaires au regard des infractionsque l’entreprise se doit de combattre enson sein.

La gouvernance du dispositif éthiqueest en soi un sujet fondamental. Quiva piloter le dispositif mis en place ?

L’éthique des affaires est fondée sur desvaleurs, des règles et plus généralementdes normes que l’entreprise se doit derespecter et faire respecter par ses colla-borateurs et ses cocontractants.

Puis-je faire ? Ne pas faire ? S’il estquestion de lois et de règlements, c’estégalement une affaire de droit local et deculture. Selon les pays, les textes répres-sifs ne seront pas les mêmes et les cul-tures pourront être bien différentes maisl’entreprise va devoir définir ce qui estacceptable, négociable et ce qui ne l’estpas. Où mettre le curseur ? Quels sontles comportements à bannir au seind’une entreprise ? Quelles fraudes répri-mées ? Y a t il les petites fraudes toléra-bles et celles qui ne le sont pas ? Lesrègles sont-elles respectées ? Les com-portements répréhensibles sont-ilssanctionnés et de quelle manière … ?Un vrai chantier en matière de gouver-nance et de traçabilité du processuséthique. Le sujet peut être complexe etplus particulièrement dans les organisa-tions matricielles décentralisées.

La mise en placed’un procureur dela République financier

Afin de lutter plus efficacement contreles infractions économiques et finan-cières, le Gouvernement et une majoritéde parlementaires ont estimé qu’enFrance, l’arsenal répressif devait êtrerenforcé. Ainsi, la loi organique n°2013-1115 et la loi n°2013-1117 du 6 décem-bre 2013 ont modifié les règles decompétence juridictionnelle enmatière de délinquance économiqueet financière.

Les décrets du 29 janvier 2014, pris enapplication de la loi du 6 décembre2013, ont organisé la mise en place du« parquet financier » (D. n°2014-64)ainsi que celle du procureur de laRépublique financier (D. n°2014-65).

Le procureur de la République finan-cier sera une juridiction unique exer-çant son ministère public pour lesaffaires relevant de ses attributionsau niveau national. Il dispose d’unedouble compétence nationale : unecompétence concurrente en matièreéconomique et financière (CPP, art.705 nouveau) et une compétenceexclusive en matière boursière (CPP,art. 705-1 nouveau).

23



La compétence nationale concurrente Le procureur de la République financierva partager une compétence nationaleconcurrente avec le juge d’instruction etle Tribunal correctionnel de Paris, les TGIterritorialement compétents et les juri-dictions interrégionales spécialisées enmatière économique et financière (JIRS)pour la poursuite, l’instruction et lejugement de certains délits de grandecomplexité, de dimension internationaleou relevant d’une certaine gravité (délitsde corruption de grande complexité,délits d’atteinte à la probité de grandecomplexité, délits de fraude fiscale enbande organisée ou aggravée, etc.). Larépartition des dossiers est un sujet quifait couler beaucoup d’encre.

La compétence nationale exclusiveLe procureur de la République financiera une compétence nationale exclusivepour la poursuite des infractions bour-sières, c’est-à-dire les délits d’initié et lesdélits de manipulation des cours debourse, ainsi que la poursuite des infra-ctions connexes.

Les moyens du procureur de laRépublique financier sont renforcésLe procureur de la République financiera la possibilité de recourir à des profes-

sionnels très spécialisés (CPP, art. 706nouveau), mais également d’user detechniques spéciales d’enquête (CPP,art. 706-1-1 et 706-1-2 nouveau).

Le procureur de la Républiquefinancier doit être autonome …Pour satisfaire aux exigences d’efficacité,cette juridiction doit être autonome(COJ, art. L 217-1, L. 217-2, L. 217-3 etart. L.217-4 nouveau), indépendante(Ord. N° 58-1270, 22 déc. 1958, art. 38-2 nouveau) et spécialisée (CPP, art. 705nouveau).Bien que la mise en place d’un procu-reur de la République financier renforceconsidérablement le dispositif de luttecontre la délinquance économique etfinancière, de vives critiques ont été sou-levées notamment s’agissant de larépartition des dossiers non boursierspour lesquels le procureur de laRépublique financier a une compétencepartagée …

A retenir également …

La loi n° 2013-1117 du 6 décembre 2013relative à la lutte contre la fraude fiscaleet la grande délinquance économique etfinancière renforce la répression de lafraude fiscale, de l'abus de biens sociaux

et des délits d'atteinte à la probité enmodifiant les incriminations par la défi-nition de nouvelles circonstances aggra-vantes et par l'adjonction d'un critèreinédit d'application du délit de blanchi-ment.1

La loi britannique relative à la répressionet à la prévention de la corruption (UKBribery Act) entrée en vigueur le 1er juil-let 2011 a instauré un nouveau délit dedéfaut de prévention de la corruption.Celle-ci a des répercussions dans lemonde entier en raison de son caractèreextraterritorial. Ainsi, toute entreprisequi a certaines de ses activités commer-ciales au Royaume Uni se doit de seconformer aux lignes directricespubliées le 30 mars 2011 précisant lesprincipes devant guider la mise en placede procédures adéquates. Ces« Guidelines » n’ont pas valoir de loi etsont révisables à tout moment. Il s’agitlà d’une loi des plus contraignantes pourles entreprises qui s’y trouvent sou-mises. A suivre…

1 Cf. Semaine juridique Edition Générale du 10février 2014 : Etude par Hervé Robert – VicePrésident chargé de l’instruction à la juridictioninterrégionale spécialisée de Paris.

CONFÉRENCE ANNUELLE2-3 octobre 2014

Retrouvez-nous

AUDIT, RISQUES,CONTRÔLE :

DES SYNERGIESAU SERVICE DE

LA PERFORMANCE DURABLE

Cité des sciences et de l’industrie Paris

24

DOSSIER


« 2/3 des pays ont un indicede perception dela corruption2 inférieurà 5 sur 10 »

En 1995, l’ONG TransparencyInternational a été créée afin de luttercontre la corruption dans le secteurpublic et politique. Elle publie tous les

ans un Indice de Perception de laCorruption (IPC)3 classant les pays selonle degré de corruption perçu. Cet indiceindique que 2/3 des pays évalués obtien-nent une note inférieure à 5 sur uneéchelle de 0 à 10. De nombreusesenquêtes internationales affirment quequel que soit le pays considéré, leshommes seraient plus corrompus que

les femmes. En 2012, d’après le « Reportto the nation » de l’ACFE4, 65 % des frau-deurs seraient des hommes !

Une étude européenne menée par le DrMatthias Kopetzky5 (membre du conseild’administration de l’Institut Autrichiendes Auditeurs Internes) tente de mettreen avant le lien entre la répartition dessexes et la corruption. Si l’étude permetd’établir un lien direct entre genre etcorruption, des mesures préventivespourraient être proposées pour lutterefficacement contre ce fléau.Afin de comprendre le lien entre la cor-ruption et le genre, il est nécessaire dese poser plusieurs questions, à savoir :Quels sont les secteurs les plus exposésau phénomène ? La corruption est-elleliée à la fonction ? Quelle est la réparti-tion des hommes et des femmes dansles secteurs d’activité ? Dans cet article, nous ferons un bref étatdes lieux de la situation actuelle, en vousdonnant quelques chiffres clefs par sec-teur et par fonction. Ensuite, nous effec-tuerons un parallèle entre ces chiffres etl’étude du Dr Matthias Kopetzky.

Caractéristiques principalesde la corruption

La corruption est un phénomène qui apris une grande importance dans lasociété actuelle6 au sein des entrepriseset de l’économie tout entière. Nous pou-vons définir le terme « corruption »comme « un agissement par lequel une

Les hommes sont-ils plusvulnérables que les femmesen matière de corruption ?Laura Desmoulins, Emmanuelle Fauquet, Christelle MarchisioDiplômées du Master 2 CCA à l’Université Paris-Dauphine1

De nombreuses enquêtes internationales affirment que, quel que soit le pays consi-déré, les hommes seraient plus corrompus que les femmes : 65 % des fraudeursseraient des hommes. Mais le taux de corruption varie selon les secteurs, les fonc-tions et le genre. Dans le secteur politique, plus les femmes sont présentes, moins lacorruption est élevée. Dans le secteur de la construction, l’un des plus corrompus,les hommes représentent de 89 % à 91 % des effectifs. Ce secteur est donc très mas-culin, ce qui peut expliquer, en partie, le fait que les hommes sont plus corrompusque les femmes. Qu’en est-il exactement ?

25



personne investie d’une fonction publique ou privée, sollicite ouaccepte un don, en vue d’accomplir un acte dans le cadre de sesfonctions ».Cette définition permet d'isoler trois éléments constitutifs dela corruption :• l’abus de pouvoir ;• à des fins privées ;• un pouvoir que l’on a reçu en délégation (qui peut doncémaner du secteur privé comme du secteur public).

Aujourd’hui, les peines encourues sont différentes en fonc-tion de la corruption :• La corruption publique est passible de dix ans d’emprison-nement et de 150 000 € d’amende (Art L.435-1 et L.435-2 du Code Pénal).

• La corruption privée, quant à elle, est passible de cinq ansd’emprisonnement et 75 000 € d’amende. (Art L.445-1 etL.445-2 du Code Pénal).7

Globalement il existe trois causes principales au phénomènede corruption : • L’absence de politique anti-corruption préventive. • La mauvaise gouvernance et les institutions faibles. Lessystèmes judiciaires et les institutions publiques ne sontpas totalement transparents et les faibles contrôles en leursein laissent le champ libre à la corruption. On peutnotamment évoquer le fait que leur structure hiérarchiquepyramidale induise souvent très peu de contrôle pour leshauts fonctionnaires ou les dirigeants qui n’ont de plus quepeu de comptes à rendre.

• L’aspect culturel. D’après l’IPC publié par TransparencyInternational, on relève que les pays d’Afrique sont pluscorrompus. il y a probablement un lien entre culture et cor-ruption.

Quelques chiffres sur la fraude(Source: Report to the nation, ACFE, 2012)

Dans cette partie, nous dresserons un état des lieux de lafraude interne (corruption, détournement d’actifs et fraudesaux états financiers) au travers des éléments chiffrés et fac-tuels. Un tiers des 1 388 cas de fraudes recensés par l’ACFEen 2012 relèvent de la corruption.

Le premier graphique nous informe de l’évolution de lafraude en fonction du sexe du fraudeur entre 2008 et 2012.Nous constatons que dans les deux tiers des cas les hommessont à l’origine des fraudes internes. Cette proportion semblerelativement stable, cela n’est donc pas conjoncturel oupériodique.

Le deuxième graphique nous présente le montant médiande la perte causée par une fraude entre 2008 et 2012 en fonc-tion du genre. La perte médiane occasionnée par un mon-tage frauduleux orchestré par un homme est de 200 000 dol-lars, contre 91 000 dollars par une femme.

0

10

20

30

40

50

60

70

80

2008 2010 2012

41%

33% 35%

59%

67% 65%

Femme

Homme

Evolution des fraudes en fonction du genre

2008 2010 2012

$ 110 000$ 100 000

$ 91 000

$ 250 000$ 232 000

$ 200 000

Femme

Homme

Montant médian des fraudes par genre

$ 0

$ 50 000

$ 100 000

$ 150 000

$ 200 000

$ 250 000

2008 2010 2012

$ 50 000

$ 150 000

$ 300 000

$ 75 000

$ 200 000

$ 699 000

Femme

Homme

Montant médian des fraudes par genreet par niveau hiérarchique

$ 0

$ 100 000

$ 200 000

$ 300 000

$ 400 000

$ 500 000

$ 600 000

$ 700 000

$ 800 000

26

DOSSIER


Enfin, dans le troisième graphique, onpeut constater que la disparitéhomme/femme n’est pas uniquementbasée sur le fait que les hommes occu-pent des postes à plus hautes responsa-bilités que les femmes.Toutefois, la différence de fonction hié-rarchique impacte le montant de lafraude.

Lien entre corruption,secteurs, fonctions et genre

Dans le secteur politique

Plus les femmes sont présentes dans lesinstitutions politiques moins la corrup-tion est élevée. D’après l’indice de per-ception de la corruption publié parTransparency International (TI) et le rap-port « l’égalité entre les hommes et lesfemmes » édité par le ministère des soli-darités et de la cohésion sociale8, datant

tous deux de 2010, nous avons croisé lesrangs d’IPC des pays d’Europe avec leurproportion de femmes présentes dansles assemblées nationales de ces mêmespays. Il en ressort que les pays où lesfemmes sont plus largement représen-tées sont aussi ceux où le rang est le plusélevé (c’est-à-dire pour lesquels la cor-ruption est perçue comme la moins éle-vée).

Dans le rapport de TI, le secteur poli-tique est perçu à 79 % comme cor-rompu, ce résultat est le plus élevé.

Secteur de la construction9

D’après le rapport de l’OCDE sur la cor-ruption transnationale, la constructionapparaît comme l’un des secteurs le pluscorrompu.Or, aujourd’hui, les hommes représen-tent 89 % des effectifs dans les entre-

prises du bâtiment de 1 à 19 salariés et91 % dans les entreprises de plus de 20salariés. Ce secteur est très masculin,cela peut donc expliquer en partie le faitque les hommes sont plus corrompusque les femmes.

Corruption et fonctions

Selon l’étude Mobicadre 201210, lesfemmes occupent 21 % des postes dedécision contre 79 % pour les hommes.Celle-ci a permis de réaliser le gra-phique présenté en page 25.

Nous constatons que les hommes sontfortement présents dans les différentesfonctions de directions qui sont despostes où la corruption est la plus pré-sente et les montants élevés (cf. statis-tiques). Nous avons là encore, un indicesur le fait que les hommes seraient pluscorrompus. Toutefois, ces faits ne per-mettent pas d’établir de lien de causalitéentre genre et corruption.

Convergence et divergenceavec l’étude du Dr MatthiasKopetzki

Afin d’étayer notre analyse, nous noussommes intéressées à l’étude« Hommes et femmes face à la corrup-tion » du Dr Matthias Kopetzki en201211. L’objectif de son étude est d’éta-blir un lien possible entre le genre et lesdifférents cas de corruption. Elle s’ap-puie sur le retour d’expérience d’audi-teurs européens susceptibles d’êtreconfrontés à ce phénomène.

Dans son étude, il part de trois hypo-thèses de base : • Il y a moins de 10% des cas de corrup-tion où les femmes sont initiatrices ducas.

• Même dans ces cas, le rôle joué par lesfemmes reste moindre par rapport àleur homologue masculin.

• Plus les femmes sont présentes dansun service, moins il y a de cas de cor-ruption.

L’analyse des résultats de cette enquêtemet en évidence plusieurs phéno-mènes :

0

20

40

60

80

100

120

0 5 10 15 20 25 30 35 40 45 50

Propor�on de femmes au Parlement

IPC faible

IPC élevé

inve

rse

de l’

IPC

27



• Même si les deux premières hypothèses n’ont pu être tota-lement vérifiées, les résultats sont cohérents avec celles-ci.

• Les cas de corruption les plus souvent relevés sont ceux oùla proportion d’hommes est la plus importante.

Ce qui l’amène à conclure qu’afin de prévenir la corruption, onpourrait augmenter la proportion de femmes dans les entités« à risque ».

* **

Statistiquement, les hommes sont plus corrompus que lesfemmes de par leur fonction et leur secteur d’activité. Toutefois,ce constat ne nous permet pas de généraliser ces faits. C’estpour ces raisons que nous avons souhaité dans notre étude,étayer nos propos par une étude scientifique.

Comm

erciale

Femme

Homme

Répartition hommes / femmes par direction

Générale

Finances / juridiqueSI

Marketing

Achats

Comm

unicationRH

Opérationnelle

19%

23%

11%

4%

13%

2% 3% 4%

13%

6%

2%5%

16%

11%

18%

36%

6%

10%

1 Recherche réalisée sous le tutorat d’Eric Freudenreich dans le cadre du cours « Fraudes contrôle gouvernance - Fraud examination ». Ce cours a été créé en 2008 parEmmanuel Charrier, professeur associé, avec Eric Freudenreich. Il est associé à l'ACFE Higher Education Partnership.

2 Définitions : Corruption active : Lorsqu’un tiers obtient d’une personne exerçant une fonction officielle qu’elle accomplisse un acte de sa fonction ou en facilite l’exé-cution. Corruption passive : Une personne investie d’une fonction sollicite ou accepte des dons en vue d’accomplir un acte de ses fonctions.

3 Transparency International France, Indice de perception de la corruption 2012, 2012 et Transparency International France, Indice de perception de la corruption2011, 2011.

4 ACFE, Report to the nation, 2012.5 Matthias Kopetzki, Gender and Corruption: Experiences and Expectations of Internal Auditors and Fraud Examiners in Europe, 2012.6 Transparency International France : Faire de la lutte contre la corruption et de l’éthique publique une grande cause nationale, 2012.7 Dalloz, Code pénal, 2012.8 Roselyne Bachelot-Narquin, Chiffres clés 2010 – L’égalité entre les femmes et les hommes, Ministère des solidarités et de la Cohésion sociale, 2010.9 Olivier Barrellier, Plus de femmes dans le bâtiment... mais pas sur les chantiers, 2011.10 DELOITTE, Nominations, Rapport Mobicadre 2012, 2012.11 Matthias Kopetzki, Hommes et femmes face à la corruption, 2012.

Matthias Kopetzki, Gender and Corruption: Experiences and Expectations of Internal Auditors and Fraud Examiners in Europe, 2012.

Cependant, l’étude du Dr Matthias Kopetzki ne nous a pas,non plus, permis de répondre entièrement à la problématique« Les hommes sont-ils plus vulnérables que les femmes enmatière de corruption ? ». D’une part parce que l’auteur lui-même souligne que ses hypothèses de départ, et donc lesconclusions à en tirer, ne sont pas totalement démontrées.D’autre part, les pays latins se sont illustrés par un faible tauxde participation. Les résultats ainsi obtenus ne sont donc pasforcément représentatifs pour les autres pays européens.Le fait est que la gent masculine reste la plus présente dans leshautes fonctions de gestion et de direction, ce qui a priori seraitla principale cause de corruption et de distorsion entre leshommes et les femmes. Toutefois, ce constat nous amène ànous poser la question suivante : « Si les femmes avaient accèsà ces postes et ces fonctions, la corruption diminuerait-elle ?La corruption est-elle plus liée au genre ou à la fonction ? ».

28

DOSSIER


La compliance : un nouveauchallenge pour les entreprisesinternationales

On peut définir la compliance commel'ensemble des processus qui permet-tent aux employés d'une entreprise dese conformer aux lois et règlementsexternes ainsi qu’aux procédures, poli-tiques et directives internes de leursorganisations, et à ses principeséthiques.

Dans un contexte où la concurrence estde plus en plus vive, les entreprises fontface à une pression soutenue pouratteindre leurs objectifs de croissance etde rentabilité. Dans ce contexte, certainspeuvent succomber à des comporte-ments non éthiques.A titre d’exemple, le montant annuel dela corruption est évalué à 1 000 billion $(source : la Banque Mondiale). 57 % desentreprises estiment que la fraude et lacorruption constituent des risquesmajeurs dans le monde des affaires(source : Ernst & Young’s, 2013 EMEIAFraud Survey).

Les organismes et régulateurs interna-tionaux sont de plus en plus stricts. Cela

se traduit par un renforcement de lacoordination mondiale entre les diffé-rentes agences, le renforcement descadres réglementaires ainsi que l’atten-tion accrue portée aux problématiquesde compliance et d’anti-corruption.

Les sanctions pour les entreprises qui neseraient pas « conformes » sont de plusen plus sévères tant en termes de péna-lités financières que de sanctions àcaractère pénal pour les entreprises,leurs dirigeants et leurs salariés. A cespénalités, s’ajoutent les frais juridiquesainsi que les impacts en termes de répu-tation. A titre d’exemple le groupeSiemens a dû payer une amende de l’or-dre de 800 millions d’euros en 2008 autitre du US FCPA (Foreign CorruptPractices Act) pour des faits avérés decorruption.Les actionnaires attendent donc desdirigeants d’entreprises qu’ils mettenten place les mesures adéquates entermes de programmes de compliance etd’anti-corruption pour protéger l’entre-prise, ses dirigeants et ses salariés. Lesconseils d’administration doivent égale-ment challenger le management afin des’assurer qu’il priorise les zones derisques majeurs.

On constate depuis quelques années, et de plus en plus, une concurrence acharnéedu côté des entreprises, qui soumet ces dernières à une rectitude accrue et à dessanctions toujours plus sévères. Dans cet environnement tendu, les pénalités sontune incitation forte à la mise en place de mesures adéquates en termes de pro-grammes de compliance et d’anti-corruption, et de priorisation des zones de risquesmajeurs.

Christian Laveau

directeur de l’audit interne, du riskmanagement et de la compliance,groupe Bourbon

Le rôle de la fonction compliance(conformité) et ses interactionsavec le management, le contrôleinterne et la fonction audit interne

Christian Laveau est directeur del’audit interne, du risk manage-ment et de la compliance deBourbon, groupe international deservices maritimes à l’offshorepétrolier. Il a précédemmentoccupé des postes à responsabilitéen finance d’entreprise, audit et riskmanagement dans des groupesinternationaux du secteur des télé-coms et des infrastructures. Il estdiplômé de l’EDHEC, de l’IEPBordeaux et titulaire du MBA del’IESE Business School à Barcelone.

29



Dans ce contexte, quel est le rôle de lafonction compliance et ses interactionsavec le management, le contrôle interneet la fonction audit interne ?

Le design et la miseen œuvre d’un programmede compliance au seinde l’entreprise

Les bonnes pratiques constatées enmatière de compliance montrent que lamise en place d’un programme dédié etstructuré est nécessaire pour piloter etinstaller durablement une véritable cul-ture de la compliance au sein de l’organi-sation. Un programme de compliance ali-gné sur les standards les plus élevéss’articulera généralement autour descomposantes suivantes :

1. Tone at the top : un engagement fortde la direction générale de l’entre-prise permettra de maintenir et ren-forcer des standards élevés enmatière d’éthique et de complianceainsi que le respect des lois et desréglementations.

2. Cartographie des risques de com-pliance : la cartographie de l’ensem-ble des risques potentiels de noncompliance et l’analyse des disposi-tifs de contrôle interne en vigueurpour les couvrir permettront à l’en-treprise d’identifier ses priorités d’ac-tions. Elle pourra développer lesmeilleurs outils et techniques ouactions correctrices lui permettant dese protéger efficacement.

3. Politique et procédures : le designet le déploiement d’une politique etde procédures homogènes de com-pliance dans l’ensemble des entités,filiales et départements de l’entre-prise permettront de garantir que lesmécanismes existent et que les règlessont claires.

4. Communication et formation : lamise en place d’une formation descollaborateurs à la compliance ainsiqu’une communication régulièrerenforceront sensiblement l’efficacitédu programme.

5. Pilotage et amélioration continue :la mise en place d’une fonction cen-trale de pilotage et coordination duprogramme ainsi que d’une structuredécentralisée au sein des principalesentités permettront la mise en œuvred’un programme homogène et arti-culé.

6. Sanctions : les éventuelles dévia-tions par rapport aux règles de com-pliance doivent faire l’objet d’un dis-positif de sanctions graduées etadaptées au cas par cas en fonctionde la gravité des déviations consta-tées.

En termes de priorités d’actions, le pro-gramme devra se focaliser sur les zonesde risques majeurs pour l’entreprise enmatière de compliance. Une cartographiedes risques de compliance est donc unpré-requis indispensable afin de déciderdes priorités d’actions et le cas échéantdes procédures à mettre en place. Bienentendu, les zones de risques peuventvarier en fonction de la taille et du sec-teur d’activité et de l’implantation géo-graphique de l’entreprise. Néanmoins,les entreprises dont la nature des activi-tés est internationale et globale priori-seront généralement leurs efforts vers laprévention des risques suivants :• anti-corruption,• anti-blanchiment,• concurrence et anti-trust,• trade export et import control.

En fonction de la nature des activités del’entreprise et de sa couverture géogra-phique, d’autres modules peuvent êtreajoutés au programme de compliancecomme par exemple la prévention lesdélits d’initiés ou les conflits d’intérêts.

Les programmes de compliance se foca-lisent généralement sur les risques decompliance dont les conséquencespourraient avoir un caractère légal. Lesprogrammes peuvent également inclurela définition et le respect des standardséthiques en matière de conduite desaffaires que l’entreprise attend de sessalariés et de ses autres parties pre-nantes (fournisseurs, agents commer-ciaux…).

Les interactionsde la complianceavec le management,le contrôle et l’audit internes

• Un leadership éthiqueLe rôle essentiel du top management està la fois de promouvoir la compliance etl’éthique au sein de l’organisation et dediriger par l’exemple. Le leadership estun facteur clef de succès pour que leprogramme de compliance et d’éthiquesoit mis en place au sein de l’ensembledes entités de l’entreprise et que la cul-ture de compliance soit durablementancrée dans son ADN.

• Interface entre la fonction com-pliance et le management de l’entre-prise

Le management est responsable de l’at-teinte des objectifs opérationnels etfinanciers de l’entreprise dans le respectdes lois externes, des règlements

internes et des règles éthiques. La fonc-tion compliance joue un rôle majeur dansl’établissement des standards en matièrede compliance et de règles éthiques. Celapeut, par exemple, prendre la formed’un code de conduite à destination del’ensemble des salariés. Elle doit égale-ment jouer un rôle de conseil vis-à-visdu management et des salariés par rap-port à la compréhension et à la gestiondes risques de compliance auxquels ils

30

DOSSIER


sont exposés dans le cadre de leurs acti-vités. Il est néanmoins essentiel de sou-ligner que la fonction compliance n’a pasvocation à se substituer au managementen termes de prise de décision. Elle doitinfluencer la prise de décision dans lerespect des règles de compliance en exer-çant en permanence son devoir d’alerte.Au sein de certaines organisations, cedevoir d’alerte se transforme en droit deveto.

• Prise en compte de la compliancedans les contrôles internes clefs del’entreprise

Les standards de compliance sont à la foisfixés en tenant compte des lois localesdes pays où les activités sont implantées,les lois ayant un caractère d’extraterrito-rialité (par exemple le US FCPA ou leUK Bribery act) ainsi que des règlesinternes de compliance et d’éthique quel’entreprise a décidé d’adopter. Lemanagement est responsable de la priseen compte de l’ensemble de ces règlesdans le cadre des procédures internes etdes contrôles internes clefs de l’entre-prise. Dans ce cadre, la fonction com-pliance sera en interaction avec les diffé-rents responsables de l’entreprise à dif-férentes étapes de ce processus. Ils’agira, par exemple, de participer à lamise à jour des procédures opération-

nelles en y intégrant la dimension com-pliance ou de définir les contrôlesinternes clefs de compliance.

• Le rôle du conseil d’administration etde ses comités dédiés

Il est nécessaire que le conseil d’admi-nistration soit régulièrement informé,directement, ou indirectement par l’in-termédiaire de l’un de ses comitésdédiés (comité de compliance ou comitéd’audit) des priorités d’actions, de lamise en œuvre et de l’efficacité du pro-gramme de compliance de l’entreprise.C’est pourquoi, le responsable com-pliance doit pouvoir avoir un accès régu-lier et rendre compte au conseil d’admi-nistration, directement ou indirecte-ment, de ses actions et du résultat deson évaluation de l’efficacité et de l’effi-cience du programme de compliancemisen place au sein de l’entreprise.

• Le rôle de l’audit interneLa première mission de l’audit internedans un contexte de compliance est dejouer son rôle d’assurance avec indé-pendance. L’audit interne fournit auconseil d’administration et au manage-ment une assurance indépendanteconcernant le design et le fonctionne-ment effectif du système de contrôleinterne de l’entreprise.

La deuxième mission de l’audit interneest de conduire des audits de com-pliance. Dans ce cadre, les fonctionscompliance et audit interne doivent tra-vailler en étroite interaction. L’auditinterne développe une approche indé-pendante lui permettant de couvrir lesrisques de l’entreprise dans le cadre deson plan d’audit annuel. Les missionsd’audit peuvent donc couvrir les risquesà caractère financier, stratégique, opéra-tionnel ou technique y compris ceux quisont couverts par le programme com-pliance de l’entreprise. Les conclusions des audits internes per-mettront de mesurer si les standardsd’éthique et de compliance sont mis enœuvre de façon homogène au sein desdifférentes entités, filiales et départe-ments de l’entreprise.

La troisième mission de l’audit internepeut être d’auditer la fonction com-pliance afin de donner une assuranceraisonnable aux différentes parties pre-nantes que celle-ci est performante. Une condition sine qua non du succès, dela crédibilité et de l’efficacité de la fonc-tion audit interne dans la conduite desaudits de compliance ou de la fonctioncompliance sera de se doter de res-sources internes ayant des compétencestechniques adéquates.

Les niveaux de corruption publique perçus dans le monde entierSource : Transparency International 2012

31



L’éthique dans l’entreprise est unvaste sujet. D’aucuns qualifie-raient même l’affaire de serpent

de mer ; un sujet de conversation quirevient 100 fois sur la table de travail etdans l’actualité sans que pourtant lesacteurs impliqués semblent apprendredu passé.Néanmoins, il ne serait pas objectif dedire que les choses n’ont pas évolué. Lesarsenaux réglementaires et juridiquesexistent depuis longtemps et ont large-ment été enrichis ces dernières années,en particulier aux Etats-Unis. Ils fournis-sent aux acteurs de la gouvernance biendes opportunités de traiter de ce sujetefficacement. L’hyperactivité des ins-tances de contrôle aux Etats-Unis ces

cinq dernières années a aussi réveillébien des consciences.En particulier le « Department of Justice »(ministère de la Justice) et la « Securitiesand Exchange Commission » (autorité desmarchés financiers), dans leurs activitésrécentes, ont très clairement rappelé àtous l’importance de la loi la plusancienne dans l’arsenal réglementaireaméricain : le Foreign Corrupt PracticesAct.

En 2013, les instances de régulations etl’appareil judiciaire américains ont épin-glé neuf entreprises : Philips, ParkerDrilling, Ralph Lauren, Total, Diebold,Stryker, Weatherford, Bilfinger, andArcher Daniels Midland (ADM).Du coté des amendes, celles-ci furentsignificativement plus importantes en2013 comparées à 2012 et ont rattrapéles niveaux de 2010. En tout720 668 902 $ ont été collectés en péna-lités de tout genre. Cela équivaut enmoyenne à 80 millions $ par entrepriseimpactée, avec de larges variancesconstatées : 1,6 million $ (RalphLauren), 152,79 millions $ (Weatherford)et 398,2 millions $ (Total).

Quoi que l’on en dise, les choses bougent dans le monde des instances de contrôle,du Department of Justice et de la Securities and Exchange Commission. Les péna-lités et les amendes ont augmenté et le risque éthique est important et au cœur despréoccupations du management et de l’audit interne.Chez Nordstrom, ces trois dernières années, la stratégie d’approche a visé à optimi-ser l’ensemble des rôles possibles de l’audit interne. Un ensemble de travaux d’auditd’assurance traditionnelle et de conseil a été lancé.

Dominique Vincenti

Vice président internal audit,Nordstrom

L’éthique chez Nordstrom :comment optimiser l’ensembledes rôles possibles de l’auditinterne

Dominique Vincenti a rejointNordstrom, importante chaîneaméricaine de magasins, en 2010après avoir assuré la direction del’audit interne chez FINCAInternational, un leader de lamicro finance opérant en Afrique,Eurasie, Moyen Orient et Amériquelatine. Précédemment, elle aoccupé durant 6 ans la position dedirectrice exécutive au siège mon-dial de l’Institut de l’Audit Interne(The IIA) où elle était responsabledes Normes internationales et del’élaboration des directives tech-niques pour la profession, de laCertification, de l’AssuranceQualité et de la Recherche. Elle aété directrice de l’audit interne deConforama de 1998 à 2003.Dominique, CIA, CRMA, lauréate duprix Hintze (IFACI), possède unmaster de l’Ecole de Hautes EtudesCommerciales (EDHEC), et unMaster en sciences du manage-ment de The London School ofEconomics and Political Sciencesà Londres (LSE).

32

DOSSIER


Le décor est donc planté. Pour uneentreprise comme Nordstrom (chaînede grands magasins de mode aux Etats-Unis : 13 milliards $ de bénéfices, 230grands magasins, 2 sites de ventes enligne), dans le cercle des sociétés duFortune 250, cotée à la bourse de NewYork et dont la prospérité est largementnourrie de sa réputation d’entrepriseaux valeurs fortes de service client etd’intégrité, le risque « éthique » estimportant et au cœur des préoccupa-tions de management et de l’auditinterne.

Nordstrom a une approche très inté-grée. L’éthique et l’intégrité ne sont pasdes activités ou objectifs d’entrepriseparallèles à la performance financière, àl’excellence opérationnelle ou aux orien-tations stratégiques. L’éthique et l’inté-grité s’insèrent dans l’ensemble des pro-cessus de l’entreprise.

Quelles implicationspour l’audit interne ?

Ces trois dernières années, chezNordstrom, notre stratégie d’approche avisé à optimiser l’ensemble des rôlespossibles de l’audit interne. Une straté-gie « d’encerclement » qui a pour objec-tif d’assurer que l’arsenal de contrôle –de la prévention à la détection et à lacorrection de comportements potentiel-lement déviants – est optimal.

Aussi, un ensemble de travaux d’auditd’assurance traditionnelle mais aussi deconseil a été mené.

Activités de conseil

Grace à un dialogue constructif avec ladirection juridique, l’audit interne aidentifié l’opportunité d’accompagner lemanagement de l’entreprise dans l’éla-boration de tableaux de bord qui per-mettent au management d’exercer unevigilance efficace et permanente du« climat éthique » et sur les comporte-ments attendus, sans attendre des diag-nostics ad hoc de l’audit interne ou d’au-tres instances d’inspection. Cetteapproche a été reçue très positivementcar l’audit interne a permis d’agir dansla mise en œuvre d’un processus decontrôle efficace et intégré mais surtouta encouragé la prise de responsabilité dumanagement et l’auto identification deszones d’opportunité.

Les deux tableaux de bord ci-aprèsreprésentent deux exemples distincts dutravail accompli. Le premier est untableau de bord global sur l’éthiquedans l’entreprise. Le second se focalisesur la conformité avec les dispositionsde « Foreign Corrupt Practices Act » tellesqu’elles s’appliquent chez Nordstrom.Dans les deux cas, l’audit interne aapporté un soutien méthodologique aumanagement afin d’identifier les pointsde contrôle et de mesure clés.La valeur ajoutée de l’audit interne surun tel projet a été de permettre à l’en-treprise de s’équiper d’un processusd’auto identification, de pilotage et dereporting permettant une visibilité quasipermanente sur des activités clés aurisque éthique important. Ces tableauxde bord sont revus et discutés par lecomité des risques trimestriellement.

Les missions d’assurance

Bien sûr l’audit interne conduit égale-ment des audits ponctuels et tradition-

0

5

10

15

20

2002

2

2012

2011

2010

2009

2008

2007

2006

2005

2004

2003

2013

3

54

13

1011

20

16

12

9

Total des pénalités toutes entreprises confondues2012-2013

Principales lois,réglementations etdirectives offrant un

cadre réglementaire ou deréflexion à l’éthique :• 1977 – Foreign Corrupt and

Practice Act• 1984 – Sentencing Reform Act

(Federal Sentencing Guidelines)• 2002 – Loi Sarbanes Oxley• 2004 – COSO ERM• 2010 – Dodd-Frank Wall Street

Reform and ConsumerProtection Act

• 2013 – COSO revised controlframework

Conseil Assurance Surveillance continue

Tableaux de bords • Evaluation du dispositifde contrôle interne surdes sujets spécifiques.

• Assurance de l’effica-cité des contrôles dureporting financier.

Whistleblower Hotline

33



Résultats attendus Cible Résultat

Certification et formation (Indicateurs)

Certification Certification annuelle pour les employés clés 100 %

Formation Formation requise pour tout nouvel employé dans les 90premiers jours

100 % 92 %

Garde-fou juridique

Contrat Toutes les clauses nécessaires relatives à FCPA sontincluses dans tous les contrats (représentants, auditeurs,fournisseurs et sous-traitants)

100 %

Certification de conformité Certification annuelle des représentants commerciauxétrangers et fournisseurs

100 %

Ordres d’achat – conditionsgénérales

Le langage nécessaire relatif à FCPA est inclus dans tous lesordres d’achats dans les conditions générales

100 %

Evaluation de parties tierces

Evaluation d’un nouveaufournisseur

Questions relatives à FCPA incluses dans l’évaluation detout fournisseur non américain

100 %

Audit des fournisseurs Audit annuel de tous les contrats de fournisseurs nonaméricains

Evaluation des risques

Evaluation des risques Mise à jour annuelle de l’analyse du risque FCPA sur l’en-semble de l’entreprise

100 % (haut Risque)

50 % (risque moyen)

25 % (Risque peuélevé)

Contrôles

Marchandises importées Paiements non-autorisés

Notes de frais et autresdépenses à l’étranger

Audit des notes de frais et dépenses à l’étranger

Tableau de bord global sur l’éthique dans l’entreprise

nels d’assurance visant à confirmer l’ef-ficacité et la pertinence des dispositifs decontrôle. Le choix de ces missions se faitdans le cadre de l’évaluation des risques.Sur ces trois dernières années les auditssuivants ont été conduits :

1. « Gift and Gratis» : Cet audit a cou-vert plusieurs aspects spécifiques àl’industrie de la distribution :

a. La filière cosmétique génère pourl’entreprise 1,2 milliard $ de revenuspar an. C’est un secteur où la pra-tique du « gratis » et de « cadeau » esttrès répandue et institutionnalisée.Les abus et détournements peuventêtre importants si ces pratiques nesont pas encadrées et suivies.

b. Les relations et les négociations aves

les fournisseurs, en particulier dans ledomaine de la mode peuvent égale-ment « flirter » avec la ligne rouge.Des règles de conduite claires sontdocumentées, régulièrement mises àjour et réaffirmées auprès deséquipes d’acheteurs. L’audit a portésur la qualité et la précision desrègles, leur communication, leur miseen œuvre et leur suivi.

2. Conformité avec les dispositionsde la loi « Dodd Frank »Cette loi de 2010 élaborée et votée enréponse à la crise financière de 2008,se focalise principalement sur desrègles d’encadrement du secteurfinancier mais contient égalementdes rappels de règles plus générales

liées à la gouvernance et à l’éthiquedans l’entreprise. Cet audit réalisé en2012 à couvert plus spécifiquementl’éthique autour :• des règles en matière de divulga-tion d’informations financières àl’extérieur de l’entreprise ;

• du respect des règles en matièred’exercices d’option, d’achat et devente d’actions et par les dirigeantsde l’entreprise ;

• délit d’initié ;• stock options antidatées.

3. La conformité aux dispositions dela loi Sarbanes Oxley en matièrede contrôle du reporting financier.Cet audit répété de façon cycliquetous les ans vise à vérifier l’efficacité

Etre en conformité avec l’en-semble des lois applicables Cible Indicateurs Tendance

# d’investigations ou résultatsd’investigations menées pardes agences gouvernemen-tales qui mentionnent unepossibilité de violation ducode de conduite ou desreprésailles envers un employéqui a alerté l’entreprise sur unproblème d’éthique

0 4T13 1T14[X] [X]

Régulation

34

DOSSIER


des contrôles sur l’ensemble de la chaine de production des étatsfinanciers. Une partie des tests couvre les contrôles dit « globaux »,c'est-à-dire l’ensemble des dispositions prises par la directiongénérale afin d’instituer un climat d’intégrité dans l’entreprise.L’audit interne effectue dans ce cadre une évaluation indépendantedu risque de fraude qui est revue et discutée avec les auditeursexternes qui mènent en parallèle une évaluation similaire.

Le suivi permanent de la « hotline »

Chez Nordstrom, l’audit interne fait partie intégrante du dispositif desuivi de la « Whistleblower Hotline ». Le positionnement objectif etindépendant de l’audit interne est utilisé pour garantir l’intégrité dudispositif.L’ensemble des cas répertoriés et documentés par la ligne d’appel estsystématiquement routé vers l’audit interne qui vérifie que le cas a été

proprement qualifié et dispatché vers le responsable le plus à mêmede traiter le dossier. En particulier, en cas de fraude potentielle à l’in-formation financière, l’audit interne est de facto assigné à l’enquête etau traitement de la plainte. L’audit interne aussi est le seul groupehabilité à traiter les plaintes (quelle que soit leur nature) qui impli-queraient un membre de la direction et du management (environ letop 100 de l’entreprise). Enfin, périodiquement, l’audit interne testel’ensemble du processus de la hotline et vérifie que les dossiers sonttraités impartialement, sérieusement et dans des temps raisonnables.Un rapport sur cette activité de surveillance est rapporté au comitéd’audit tous les trimestres.L’éthique est un risque permanent et, en réponse à la nature de cerisque, l’audit interne chez Nordstrom s’attache à garder une visibilitéet une opinion en continu sur ce risque. La combinaison de plusieursactivités dans le cadre des missions possibles de l’audit interne nouspermet à ce jour de répondre de manière efficace à cette exigence.

Exemple de tableau de bord (Balanced Scorecard) trimestriel élaboré en fonction d’objectifs clairement établis par l’entreprise

Les employés s’exprimentsans crainte sur les sujets /incidents liés à l’éthique

Cible Indicateurs Tendance

# de rapports reçus avec allé-gation de contravention aucode de conduite (présenterles 3 principales catégories)

4T13 1T14[X] [X]

% d’employés (enquête) indi-quant que l’entreprise man-tient des valeurs éthiquesfortes

4T13 1T14[X] [X]

% de managers dont l’évalua-tion indique un score > 3 pourla rubrique éthique

4T13 1T14[X] [X]

Expérience « client »

L’ensemble des collabora-teurs sont formés en réguliè-rement informés sur lesvaleurs et les comporte-ments attendus

Cible Indicateurs

% de nouveaux employés quiont revu et signé le code dedéontologie dans les X joursaprès leur arrivée

100 % 4T13 1T14[X] [X]

% de managers effectuant l’en-semble des formationsrequises, relatives à l’éthique

100 % 4T13 1T14[X] [X]

% des employés effectuantl’ensemble des formationsrequises, relatives à l’éthique(code de déontologie, cadeauxet gratuits, prévention de lafraude, anti corruption, etc.)

100 % 4T13 1T14[X] [X]

# de communication d’entre-prise protant sur un thème liéà l’éthique

4T13 1T14[X] [X]

Apprentissage et développement

L’entreprise traite efficace-ment les incidents Cible Indicateurs Tendance

Top 3 des raisons pour les-quelles une sanction discipli-naire est prise (management /employés)

4T13 1T14[X] [X]

# de licenciements résultantd’une action disciplinaire pourconduire en contraventionavec le code de conduite (vol,harassement, etc.)Management / employés

4T13 1T14[X] [X]

# d’actions judiciaires citantdes violations du code de

conduite ou des plaintespour représailles

0 4T13 1T14[X] [X]

Efficacité organisationnelle

Maintenir uneculture qui favorise

la bonne décision entoute circonstance Bas Moyen Elevé

Niveau de risque :

Tendance de risque : Décroissant Stable Croissant


INTERNATIONAL

Lorsqu'un systèmene fonctionne pas,il doit être réparé

Ces dernières années, les scandales quiont touché des organisations de premierplan et ont affecté des millions depersonnes – fournisseurs, salariés ouinvestisseurs – ont fait l'objet de débatsnourris et souvent houleux.Les sociétés cotées sont détenues pardes millions de personnes qui n'ontjamais boursicoté directement, mais quiconsidèrent leurs fonds de pension etleur assurance-vie comme des instru-ments sûrs. Pourtant, lesévénements ont maintesfois montré que lesinformations dispo-nibles pour laplupart de cesorganisations nepeuvent donnerune telle assu-rance. Nonparce que lasociété a quelquechose à cacher, maissimplement parce quenos systèmes de communi-cation d'informations dépassés nepermettent pas d'identifier la valeur àlong terme et la résilience d'une entre-prise.

Mervyn King, auteur des rapports Kingsur la gouvernance et président del'International Integrated ReportingCouncil, explique que les rapports finan-ciers classiques représentent environ 20% seulement de la valeur d'une entre-prise et que, pour l'utilisateur ordinaire,les normes d'information financièresont incompréhensibles. Les tentativesd'explication des 80 % restants de lavaleur d'entreprise ont donné naissanceaux rapports sur le développementdurable, formulés en « langage spécia-lisé ». Il estime que ces deux types derapport sont essentiels, mais insuffi-

sants, car ils ne communiquentpas les principes fonda-mentaux du devoir derendre compte quiles rendraientintelligibles. En outre, lesrapports sontimportants nonseulement entermes de conclu-sions, qui devraient

étayer les décisions, lapolitique et les décisions

d'investissement du conseil,mais aussi, selon Mervyn King,

parce que la façon dont une organisa-tion communique des informationsinfluence son comportement.

Le reporting intégré

À chaque fois qu'un scandale financier éclate, les pouvoirs publics et les régulateurscherchent une solution afin qu'il ne se reproduise pas. Toutefois, face au concept dereporting intégré en développement, ces ajustements réglementaires ponctuelspourraient apparaître comme des mesures dérisoires.

Texte de Ruth Prickett

« Le reportingfinancier classique

représente environ 20 %de la valeur d'une

entreprise »

Feu vert

L'entreprise Clorox, propriétaire demarques telles que Burt's Bees, fabri-cant de produits de toilette, fait partiedes organisations qui ont participé auprogramme pilote de l'InternationalIntegrated Reporting Council (IIRC).L'organisation, qui a publié son premierrapport sur la responsabilité d'entre-prise en 2010, évolue aujourd'hui versle reporting intégré.

Aileen Zerrudo, directrice de la commu-nication institutionnelle chez Clorox, adéclaré à l'IIA : « Nous devons donnerune vue d'ensemble – financière etextra-financière – de l'entreprise carnous présentons sa performanceglobale ».

Elle reconnaît qu'il est difficile decommuniquer sur le reporting intégréen utilisant un langage concis etcompréhensible, et souligne qu'il estimportant d'appliquer de bons prin-cipes de communication. Le choix desindicateurs extra-financiers les plussignificatifs et leur impact sur la perfor-mance financière sont également dessujets délicats.

Toutefois, d'après Aileen Zerrudo,Clorox ne se contente pas de fournirdes informations sur le développementdurable parce qu'il convient de le faire.La société s'appuie sur le reportingintégré pour démontrer que les indica-teurs extra-financiers peuvent affecterla viabilité à long terme de l'ensemblede l'organisation. À l'heure actuelle, lasociété recourt à une assuranceexterne pour ces indicateurs extra-financiers, mais elle étudie égalementdes solutions pour que l'audit internepuisse s'en charger à l'avenir.

36

INTERNATIONAL


Contrairement à un rapport financier,un rapport global ne doit donc pas êtreune photographie rétrospective. Il doitégalement avoir un impact sur laprogression et l'évolution de l'entre-prise. Cela ne se produira jamais, selonMervyn King, si les rapports annuels« comptent 400 pages rédigées dans unlangage obscur », que même certainsadministrateurs sont inca-pables de comprendreou de lire dans leurintégralité.Voilà le point dedépart d'unecampagne qui adonné nais-sance à l'IIRC( In t e rna t i ona lI n t e g r a t e dReporting Council).Son objectif estd'identifier les facteursindiquant qu'une entrepriseest réellement viable et susceptible degagner en valeur au fil du temps, et dedéfinir des façons de communiquer desinformations concises, aisémentcompréhensibles et exploitables. Ont

contribué à ce projet des entreprises etdes investisseurs provenant de plus de25 pays, ainsi que 341 universitaires.Parallèlement, 103 des plus grandesentreprises mondiales, dont Unilever,Microsoft, HSBC, PepsiCo et Tata Steel,ont participé à une étude pilote.Ces efforts se sont concrétisés endécembre par la publication du

premier référentiel interna-tional de l'IIRC. À cepropos, Mervyn Kingdéclare : « Nousdisposons désor-mais d'un systèmeunique qui devraitpermettre à l'en-semble du conseilde comprendre tousles arguments avan-

cés dans les rapportset de travailler de

manière collégiale. Degrands propriétaires et gestion-

naires d'actifs du monde entier ont acceptéd'investir de façon responsable, et denombreux pays élaborent leur propre codesur l'investissement responsable, qui prévoitnotamment la prise en compte, dans leur

analyse d'investissement, des facteurs envi-ronnementaux, sociaux et de gouvernance. »

Grands principes

Le référentiel de l'IIRC est fondé sur desprincipes et expose les grands « capi-taux » sur lesquels une organisations'appuiera pour générer de la croissanceà court, moyen et long terme. Ces diffé-rents capitaux peuvent prendre la formede ressources physiques ou d'actifsincorporels tels que des relations avecdes tiers, dont les clients, les fournis-seurs et les actionnaires. Dans le réfé-rentiel, ils sont répartis dans lesrubriques suivantes : capital financier,capital produit, capital intellectuel, capi-tal humain, capital social et relationnel,et capital naturel. Toute entreprisedispose de stocks pour chaque capital,qui augmenteront ou diminueront enfonction de la façon dont elle réalise desbénéfices et de ce qu'elle produit.

Les organisations devraient pouvoiradapter aisément les grands principesexposés dans le référentiel, quels quesoient leur secteur d'activité ou leurrégion (voir l'encadré ci-contre). Toutesles organisations sont intégrées dans unenvironnement externe, et le référentielpermet de communiquer de manièresimple et directe sur la façon dont ellesgèrent leur modèle d'entreprise, notam-ment sur les aspects tels que les oppor-tunités et les risques, la stratégie et l'al-location des ressources, et comment sesdécisions et processus de gestion sontsusceptibles d'affecter les ressources etles relations externes. Les décisions etles processus de gestion ayant un impactsur les capitaux sont dénommés« éléments de contenu » (voir l'encadréen page 37). Si la plupart des organisations commu-niquent déjà des informations surcertains domaines couverts par le réfé-rentiel – par exemple, les questionsfinancières et environnementales – ceséléments leur permettent de cartogra-phier à la fois les liens internes entrechacun de ces domaines et les différentsdépartements et fonctions, et les liensavec l'environnement externe, à partir

« Un rapport intégrédoit comporter des informations

sur des facteurs qui ont un impactsignificatif sur la capacité

d'une organisation à générerde la valeur à court, moyen

et long terme »

Les grands principes suivants étayent l'élaboration d'un rapport intégré, et servent de baseà son contenu et à la manière dont les informations y sont présentées : • Priorité stratégique et orientation future : le rapport intégré donne un éclairage sur la

stratégie de l'organisation ainsi que sur la manière dont elle influe sur la capacité de l'or-ganisation à générer de la valeur à court, moyen et long terme, son utilisation des capitauxet les répercussions observées sur ces derniers.

• Connectivité de l’information : le rapport intégré montre une vue d'ensemble des asso-ciations, corrélations et dépendances entre les facteurs qui affectent la capacité de l'or-ganisation à générer de la valeur au fil du temps.

• Relations avec les parties prenantes : le rapport intégré donne des indications sur laqualité des relations que l'organisation entretient avec ses principales parties prenantes,notamment comment et dans quelle mesure elle appréhende, prend en compte et satis-fait leurs besoins et intérêts légitimes.

• Caractère important : le rapport intégré donne des informations sur les facteurs qui ontun impact significatif sur la capacité de l'organisation à générer de la valeur à court, moyenet long terme.

• Concision : le rapport intégré donne des informations concises.• Fiabilité et complétude : le rapport intégré doit englober tous les points importants, posi-

tifs comme négatifs, de manière équilibrée et sans erreur significative.• Cohérence et comparabilité : les informations que contient le rapport intégré doivent

être présentées d'une manière qui soit cohérente dans le temps et qui permette la compa-raison avec d'autres organisations, dans la mesure où cela est important pour la capacitéde l'organisation à générer de la valeur au fil du temps.

Grands principes du référentiel de l'IIRC

des données communiquées par lesfournisseurs, des relations avec les sala-riés de l'organisation, des produits et desrelations avec les clients.

Quelles sont les implicationsdu reporting intégré pourl'audit interne ?

Évidemment, l'audit interne étant, selonMervyn King, le « ciment » de la gouver-nance moderne, il aura un rôle impor-tant à jouer, tant par sa mission d'assu-rance dans les différents domainescouverts par les rapports que par safonction de conseil sur la mise en œuvredu reporting intégré. L'IIA a élaboré desorientations sur les méthodes quipermettent aux auditeurs internes degagner en maturité en prenant lesdevants et, à terme, de devenir desprécurseurs dans le domaine du repor-ting sur le développement durable.Par exemple, le référentiel impose auxorganisations de traiter la gestion desrisques et la gouvernance. L'IIA proposeque les auditeurs internes, qui veillent àce que leur entreprise respecte lesexigences des Normes internationalesde l'IIA, préparent également la mise enœuvre du référentiel. Bien entendu, l'au-dit interne participera également aucontrôle du respect de la législation etde la réglementation.

D'autres responsabilités peuventévoluer. Par exemple, l'audit internepeut initialement être amené à donnerune assurance sur des indicateurs extra-

financiers, mais pourrait, à l'avenir, jouerdavantage un rôle de conseil. En Afriquedu Sud, Deloitte avance que le rôle del'audit interne deviendra plus straté-gique à mesure que les organisations,une fois respectées les exigences mini-males du reporting intégré, évoluerontvers l'adoption d'une « réflexion totale-ment intégrée ».

Il paraît évident que s'il est pleinementmis en œuvre, le reporting intégré modi-fiera de manière fondamentale lamanière dont les organisations abordentleurs processus et leur place dans lasociété. Leur façon de communiquer

avec la société est à la fois le point dedépart et le point d'arrivée d'une trans-formation qui imposera d'examiner debien plus près de nombreux domainesdélaissés et ignorés. Il est temps que lesentreprises s'intègrent pleinement ausein des sociétés dans lesquelles ellesmènent leurs activités. L'adoption dureporting intégré y contribuera incon-testablement. L'audit interne seraconfronté à des changements, maisaussi à de nouvelles opportunités pourcréer de la valeur ajoutée.


© adimas - Fotolia.com

Un rapport intégré comporte huit éléments de contenu qui sont fondamentalement liésentre eux et ne s'excluent pas mutuellement :1. Vue d'ensemble de l'entreprise et environnement externe : Que fait l'organisation et

quelle est sa situation ?2. Gouvernance : De quelle manière la structure de gouvernance de l'organisation favo-

rise-t-elle sa capacité à générer de la valeur à court, moyen et long terme ?3. Modèle d'entreprise : Quel est le modèle d'entreprise de l'organisation ?4. Risques et opportunités : Quels sont les opportunités et risques particuliers qui affectent

la capacité de l'organisation à générer de la valeur sur le court, le moyen et le long terme,et comment celle-ci réagit-elle face à eux ?

5. Stratégie et allocation des ressources : Quel est le but de l'organisation et commententend-elle s'y prendre pour y parvenir ?

6. Performance : Dans quelle mesure l'organisation a-t-elle atteint ses objectifs stratégiqueset quels sont les résultats obtenus en termes d'effets sur les capitaux ?

7. Perspectives : Quelles sont les difficultés et incertitudes auxquelles l'organisation devraitêtre confrontée si elle poursuivait sa stratégie, et quelles pourraient en être les répercus-sions sur son modèle d'entreprise et sa performance future ?

8. Présentation : Comment l'organisation détermine-t-elle les éléments à inclure dans lerapport intégré et comment ces éléments sont-ils quantifiés ou évalués ?

Éléments de contenu d’un rapport intégré

Article traduit et reproduit avec la permission de l’IIA UK.Cette article a été publié dans sa version originale

dans la revue Audit & Risk publiée par l’IIA UK.

38

LA PROFESSION EN MOUVEMENT


Evénements

Les meilleurespratiques de maîtrisedes risques(Extraits)

Réunion mensuelledu 27 février 2014

GDF SUEZ : la maîtrisedes risques projets, unedémarche coordonnée avecles opérationnels.La direction de l’audit etdes risques pilote et coor-donne : le management desrisques ; le contrôle

interne ; l’audit interne.Le Guide Project RiskManagement (PRM) a étévoulu par le managementdu groupe pour améliorer lamaîtrise des projets ; a étéconçu pour aider le mana-ger de projet ; a été rédigéavec le concours de mana-gers de projets. Le guidePRM constitue un cadrecommun pour le groupe,construit sur la base debonnes pratiques.L’audit interne participerégulièrement à des revuesde projets de construction.Il a participé à la créationdes référentiels de contrôleinterne du groupe, etcontribue au déploiement

du guide PRM et à la diffu-sion du référentiel.

ARCELORMITTAL a réa-lisé un reporting intégré desprocessus d’assurance, etidentifié des assurance pro-viders : audits interne etexterne, compliance, riskmanagement, sûreté,finances, etc. Des étapesfutures sont prévues,comme l’adaptation augroupe, une version auto-matisée, la recherche denouveaux assurance provi-ders, le pilotage des actionscorrectives…

TECHNICOLOR a plu-sieurs missions principales,

l’une d’entre elles consis-tant à développer et trans-férer des innovations tech-nologiques dans les ser-vices, logiciels et solutionsfournis par le groupe.Le contrôle interne fait par-tie intégrante de la stratégiede Technicolor et permet dedonner une assurance rai-sonnable sur la réalisationdes objectifs stratégiques etopérationnels du groupe.Maintenir l’efficacité descontrôles internes clés estessentiel pour le suivi et lagestion des principauxrisques.

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

Calendrier 2014SESSIONS Durée Tarifs

adhérentsTarifs nonadhérents janv. févr. mars avril mai juin juillet sept. oct. nov. déc.

SE FORMER À LA MAÎTRISE DES ACTIVITÉS ET AU CONTRÔLE INTERNE

S’initier à la maîtrise des activités et au contrôle interne 2 j 950 € 1 125 € 16-17 13-14 10-11 7-8 5-6 5-6 1-2 15-16 2-3 6-7 4-5

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 20-22 17-19 12-14 9-11 12-14 11-13 7-9 17-19 6-8 12-14 8-10

Elaborer le référentiel de maîtrise des activités 2 j 1 200 € 1 350 € 23-24 20-21 17-18 14-15 15-16 17-18 10-11 23-24 9-10 18-19 15-16

Piloter un dispositif de maîtrise des activités et de contrôle interne 2 j 1 200 € 1 350 € 27-28 25-26 19-20 16-17 19-20 19-20 25-26 13-14 20-21 17-18

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 29-30 24-25 23-24 20-21

Maîtrise des activités, contrôle interne et communication 2 j 1 200 € 1 350 € 18-19 21-22 7-8 18-19 22-23 11-12

SE FORMER À L’AUDIT INTERNE

Les fondamentaux de l’audit interne

S’initier à l’audit interne 2 j 950 € 1 125 € 9-10 5-6 6-7 3-4 6-7 3-4 1-2 11-12 2-3 13-14 3-4

Conduire une mission d’audit interne : la méthodologie 4 j 1 950 € 2 150 € 13-16 11-14 10-13 8-11 12-15 10-13 1-4 15-18 6-9 18-21 8-11

Maîtriser les outils et les techniques de l’audit 3 j 1 625 € 1 775 € 20-22 17-19 17-19 14-16 19-21 16-18 7-9 22-24 13-15 24-26 15-17

Maîtriser les situations de communication orale de l’auditeur 2 j 1 050 € 1 150 € 23-24 20-21 20-21 17-18 22-23 19-20 8-9 25-26 16-17 27-28 18-19

Réussir les écrits de la mission d’audit 2 j 1 050 € 1 150 € 27-28 24-25 24-25 22-23 26-27 23-24 10-11 29-30 20-21 25-26 18-19

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 525 € 1 675 € 29-31 17-19 26-28 22-24 19-21

Désacraliser les systèmes d’information 3 j 1 525 € 1 675 € 26-28 2-4 17-19 1-3

Détecter et prévenir les fraudes 2 j 1 050 € 1 150 € 26-27 24-25 25-26 25-26 22-23 4-5

Le management

Piloter un service d’audit interne 2 j 1 300 € 1 450 € 18-19 5-6 6-7

Manager une équipe d’auditeurs au cours d’une mission 1 j 685 € 770 € 21 4 27

L’audit interne dans les petites structures 1 j 685 € 770 € 16 7

Balanced Scorecard du service d’audit interne 1 j 685 € 770 € 28 26

Le suivi des recommandations 1 j 685 € 770 € 28 10 30 30 28

Préparer l’évaluation externe du service d’audit interne 2 j 1 300 € 1 450 € 20-21 12-13 24-25

L’audit interne, acteur de la gouvernance 1 j 685 € 770 € 9 1

Audit interne, contrôle interne et qualité : les synergies 1 j 685 € 770 € 11 8

Les audits spécifiques

Audit du Plan de Continuité d’Activités - PCA 2 j 1 300 € 1 450 € 11-12 26-27 19-20

Audit de la fonction Comptable 2 j 1 300 € 1 450 € 15-16 6-7

Audit de performance de la gestion des Ressources Humaines 3 j 1 525 € 1 675 € 2-4 4-6

Audit de la fonction Achats 2 j 1 300 € 1 450 € 19-20 29-30

Audit des Contrats 1 j 685 € 770 € 21 21

Audit de la fonction Contrôle de Gestion 2 j 1 300 € 1 450 € 20-21 12-13

Audit de la Sécurité des Systèmes d’Information 2 j 1 300 € 1 450 € 26-27 24-25

Audit des Processus Informatisés 2 j 1 300 € 1 450 € 17-18 4-5

Audit de la Conformité à la Législation Sociale 2 j 1 300 € 1 450 € 12-13 2-3

Audit du Développement Durable 2 j 1 300 € 1 450 € 14-15 9-10

Audit des Projets et Investissements 2 j 1 300 € 1 450 € 1-2 17-18

SE FORMER DANS LE SECTEUR PUBLIC

Le contrôle interne dans le secteur public 2 j 1 300 € 1 450 € 20-21 9-10 6-7

Pratiquer l’audit interne dans le secteur public 4 j 1 950 € 2 150 € 1-4 16-19 9-12

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER

Le contrôle permanent et la conformité dans le secteurbancaire et financier 3 j 1 525 € 1 675 € 11-13 17-19 10-12

Pratiquer l’audit interne dans une banque ou un établissementfinancier 4 j 1 950 € 2 150 € 16-19 22-25 15-18

SE FORMER DANS LE SECTEUR DES ASSURANCES

Le contrôle interne dans le secteur des assurances 2 j 1 300 € 1 450 € 10-11 6-7 11-12 4-5

Pratiquer l’audit interne dans le secteur des assurances 4 j 1 950 € 2 150 € 4-7 23-26 20-23 2-5

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE

Audit de la gestion des stocks et de la logistique 2 j 1 300 € 1 450 € 29-30 2-3

Audit du processus de ventes 2 j 1 300 € 1 450 € 7-8 15-16

ACQUÉRIR UNE CERTIFICATION Voir notre site internet : www.ifaci.com

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

1

FICHE TECHNIQUE

avril/mai 2014 - FICHE TECHNIQUE N°49 - Audit & Contrôle internes

Revue Audit & Contrôle internes : Comment lacommunication des principes éthiques et des valeurs del’organisation est-elle organisée auprès de tous ?

Christopher Page : Les valeurs du groupe et ses prin-cipes éthiques sont véhiculés de plusieurs manières :les documents institutionnels d’abord, tels que ledocument de référence, le rapport d’activité et lerapport RSE, qui sont mis à jour annuellement etdisponibles sur le site internet du groupe et les sites

intranets des filiales. Ces documents reprennent lesengagements du groupe et en illustrent leur mise enœuvre. Leur promotion est faite via les bulletins d’in-formation interne et les lettres aux actionnaires.Chaque salarié a reçu une version papier de ces docu-ments.

En lien avec l’adhésion récente du groupe au pactemondial (Global Compact) des Nations Unies, une« charte éthique et comportements » a été publiée

Chez Eurotunnel, nul ne peutignorer l’éthique, disséminéeà tous les niveaux

Diplômé de l’Université de Saint Andrews (Ecosse), ChristopherPage est le directeur de l’audit interne du groupe Eurotunnel,concessionnaire du tunnel sous la Manche et opérateur de fretferroviaire en France et au Royaume-Uni. Il a rejoint Eurotunnel en1993 en tant qu’auditeur interne, ayant occupé un poste similairepour l’Arun District Council sur la côte sud de l’Angleterre. ChezEurotunnel, il a été nommé au poste de responsable monétiqueen 1998, puis a réintégré le service d’audit interne dès la restructu-ration du groupe en 2006 – pour en prendre la direction en 2010.La direction de l’audit interne du groupe Eurotunnel est composéede 6 personnes, qui effectuent des missions d’assurance et deconseil dans tous les domaines d’activité du groupe, y comprisl’évaluation de la gestion des risques. En octobre 2012, elle estdevenue la 50ème organisation à recevoir la certification profes-sionnelle délivrée par IFACI Certification.

Christopher Page

directeur de l’audit interne, groupe Eurotunnel

2

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°49 - avril/mai 2014

début 2013. La genèse de la charte est un affichagefort du « tone at the top » : piloté par le président-direc-teur général du groupe, le projet de document a étéapprouvé par le conseil d’administration, puis soumisaux directeurs généraux / présidents des filiales, avecinstruction d’informer / consulter les instances repré-sentatives du personnel compétentes en fonction desdispositions propres à la législation nationale appli-cable.

Une fois ces étapes respectées, la « charte éthique etcomportements » est envoyée dans sa version défini-tive à l’ensemble des comités de direction des filialesdu groupe, puis communiquée aux 3 700 salariés parannonce dans les bulletins de communication interne

et inclusion de manière permanente en positiondominante sur les pages d’accueil des portails intranetdes filiales, ainsi que dans la rubrique « gouvernementd’entreprise » du site internet du groupe. Une versionimprimée de la charte est par ailleurs distribuée àchaque nouveau membre du personnel lors de sonrecrutement. Les principaux fournisseurs et sous-trai-tants ont reçu un exemplaire numérisé de la chartelors de sa publication, et elle est intégrée dans chaquenouveau contrat. Ainsi, en signant le contrat, ils s’en-gagent à respecter les engagements de la charte.De plus, nous sommes signataires de la « charte rela-tions fournisseur responsables » élaborée par leMinistère de l’Economie et des Finances.

Con

voi d

e fret fe

rrov

iaire Eu

ropo

rte

3avril/mai 2014 - FICHE TECHNIQUE N°49 - Audit & Contrôle internes

La « charte éthique et comportements » remplace unensemble de valeurs et principes devenus hétérogènesau fil du temps et des acquisitions par des règlescommunes en matière de respect des personnes, deloyauté de la concurrence, de contrôle interne, depréservation de l’environnement. Les principes d’ac-tion et les lignes de conduite qu’elle définit sont appli-cables à l’ensemble des salariés du groupe et de sesfiliales, ainsi qu’à leurs sous-traitants et fournisseurs.

La charte prévoit une procédure d’alerte en cas denon-respect de la réglementation ou des normeséthiques, incluant la possibilité pour le salarié de saisirle directeur de l’éthique s’il considère qu’une infor-mation vers son supérieur hiérarchique peut présenterdes difficultés ou ne paraît pas donner lieu au suiviapproprié. Une boîte e-mail générique està disposition des salariés qui souhai-tent faire part des disfonctionne-ments rencontrés.

Enfin, la direction juridiqueorganise aussi des séancesd’information internes surdes thèmes liés à l’éthique, telsque la prévention et la luttecontre la corruption imposéespar le Bribery Act 2010 au groupeentier de par ses activités et filiales auRoyaume-Uni.

R. A&CI : Le code de déontologie énonce-t-il clairementles attentes du management en matière de comportementéthique ?

Ch. P. : La « charte éthique et comportements »résume les attentes de comportement éthique àtravers les rubriques suivantes :• respect des personnes,• respect de la légalité,• respect du groupe,• respect des règles de la concurrence,• prévention et lutte contre la corruption,• agents commerciaux,• activités politiques,• prévention des conflits d’intérêt,• communication et information,• réglementation boursière,• protection des actifs et données,

• transparence et contrôle interne,• préservation de l’environnement.

En 2014, il est prévu de publier un « Corporate Hand-book », qui établira les liens entre le pacte mondial desNations Unies, la charte, les procédures du groupe etleurs déclinaisons au niveau des filiales.

R. A&CI : Comment la réussite du programme de confor-mité est-elle mesurée ?

Ch. P. : Pour l’instant, Il n’y a pas de programme deconformité spécifique à l’éthique. La conformité auxpolitiques d’achat, par exemple, est mesurée par unreporting détaillé destiné aux directions achats et àl’audit interne. La collecte et la mesure des indica-

teurs sociaux et environnementaux, géréspar la DRH groupe, sont soumises auxdiligences des commissaires auxcomptes.L’éthique est disséminée unpeu dans tous les domaines denotre activité. Aussi, l’auditinterne va y prêter attentiondans chacune de ses missions.

R. A&CI : Des systèmes, comme lesystème des rémunérations par exem-

ple, ne sont-ils pas basés sur les perfor-mances dans une trop large proportion ?

Ch. P. : Le pourcentage de la part variable des rému-nérations ne doit pas dépasser 100 % de la part fixe.Le conseil d’administration a décidé que la politiquede rémunération doit favoriser la performance sur lelong terme au niveau de l’ensemble des enjeux del’entreprise (stratégiques, sociaux, sociétaux ou envi-ronnementaux) et non pas uniquement des enjeuxfinanciers. Dans la logique de la recommandationeuropéenne du 30 avril 2009, les critères de perfor-mance de la rémunération variable des dirigeantsmandataires sociaux sont fixés de manière à favoriserla performance sur le long terme. Le conseil, surproposition du comité des rémunérations, veille à ceque les différentes composantes de la rémunérationdes dirigeants mandataires sociaux soient proportion-nées et conformes aux principes posés par le codeAFEP-MEDEF.

« La charte prévoitune procédure d’alerteen cas de non-repect

de la réglementation oudes normes éthiques »

avril/mai 2014 - FICHE TECHNIQUE N°49 - Audit & Contrôle internes 4

R. A&CI : Dans son blog, Richard Chambers, présidentde l’IIA, défend l’idée que l’auditeur interne doit être laconscience de l’organisation, en s’assurant qu’il secomporte de manière éthique1. Il décrit les attributs dudirecteur de l’audit interne et défend l’idée que les audi-teurs internes ne doivent pas être que réactifs. Commentl’audit interne peut-il jouer ce rôle ? Jusqu’à quel point ?

Ch. P. : Pour que l’audit interne joue le rôle de« conscience de l’organisation », certains pré-requisdoivent être réunis : son positionnement doit êtreoptimal afin d’afficher son indépendance et son objec-tivité, celles-ci doivent être inscrites dans une chartede l’audit interne approuvée au plus haut niveau del’organisation, au même titre qu’une référenceaux Normes professionnelles. L’évalua-tion du processus de gouvernementd’entreprise, y compris en matièred’éthique, est inscrite dans lesNormes (norme de fonction-nement 2110). L’organisationsera dotée d’une charteéthique claire, y compris surles pénalités encourues pourles non-conformités, elle-mêmeapprouvée au plus haut niveau etcommuniquée à toutes les partiesprenantes. Il est par ailleurs envisageableque le responsable de l’audit interne soitnommé en tant que référent éthique, ou médiateurd’entreprise, de par sa neutralité et son indépendance.

Pour démontrer son engagement éthique, l’organisa-tion pourra s’appuyer sur un cadre de référence, telque le pacte mondial des Nations Unies, ISO 26000(lignes directrices pour opérer de manière socialementresponsable), le guide « Améliorer la relation client /fournisseur » de l’Assemblée des Chambres Fran-çaises de Commerce et d’Industrie, etc. L’auditeurinterne pourra guider la direction dans cette opéra-tion, puis vérifier par la suite les engagements de l’or-ganisation pris au travers de ces outils. Ladétermination de programmes de travail s’appuierasur ces référentiels.

Jusque là, rien d’extraordinaire. Mais dans son blog,Richard Chambers va plus loin, en explorant les rami-fications d’une attitude « proactive » en matièred’éthique. Si l’auditeur interne représente la

« conscience de l’organisation », il lui faudra alerter enamont, potentiellement contre vents et marées, avecle courage que cela nécessite, pour indiquer commentdes situations négatives peuvent être évitées. Maisque faire si les produits, les méthodes de productionou les conditions de travail de de son employeur, oud’un sous-traitant existant ou potentiel, présententdes risques pour la santé ou pour l’image de l’entre-prise ? Comment privilégier le sociétal et le biencommun si ceux-ci sont en conflit avec la rentabilitéet le retour sur investissement des actionnaires ?

Ces conflits ne sont pas à négliger. Cela dit, l’éthiqueest aujourd’hui une considération de plus en plus

importante pour les consommateurs, lesinvestisseurs, et les directions. Lesimpacts du « risque réputationnel »avéré touchant des puissantesentreprises tels que Nike etApple, la réaction globale auxaccidents récents dans les« sweat shops » au Bangladesh,l’essor de fonds d’investisse-ments éthiques orientent lesdirections d’entreprises vers uneprise de conscience qui devrait

assister et promouvoir les efforts del’auditeur interne.

Quant à la proactivité, l’audit interne s’appuiegénéralement sur les événements du passé pour enri-chir l’avenir. Quelle serait, en effet, la valeur ajoutée,et donc l’intérêt, d’une recommandation qui ne portepas d’amélioration ?

L’écueil à éviter est de ne pas se substituer au mana-gement. La prise de risques et la réponse aux risquesne relèvent pas du responsable d’audit interne. Pourreprendre la Norme 2600, « Lorsque le responsable del'audit interne conclut que le management a accepté unniveau de risque qui pourrait s'avérer inacceptable pourl'organisation, il doit examiner la question avec la direc-tion générale. Si le responsable de l’audit interne estimeque le problème n’a pas été résolu, il doit soumettre laquestion au Conseil. [...] », la réponse au risque nerelève pas du responsable d’audit interne.

R. A&CI : L’exemplarité des dirigeants est-elle la meil-leure manière de promouvoir des comportementséthiques ?

« L’éthique est aujourd’huiune considération de plus en

plus importante pourles consommateurs,les investisseurs, et

les directions »

FICHE TECHNIQUE

Audit & Contrôle internes - FICHE TECHNIQUE N°49 - avril/mai 20145

Tunn

el sou

s la M

anch

e cô

té Fra

nce

6avril/mai 2014 - FICHE TECHNIQUE N°49 - Audit & Contrôle internes

Ch. P. : Une exemplarité défaillante est en tous cas lameilleure manière de les décourager !

La meilleure manière de promouvoir des comporte-ments éthiques est de mettre en place les élémentsprécités (charte, pacte mondial, etc.), et surtout d’ap-pliquer leurs prescriptions. Il ne suffit pas de rédigeret de communiquer des chartes et des codes deconduite, ou de signer des adhésions à des orga-nismes nationaux et internationaux. L’application desrègles doit être vérifiée, et en toute transparence. Entant qu’observateur privilégié, l’audit interne est uncandidat idéal pour effectuer cette tâche.

De plus, il est évident que les dirigeants ont un devoirde représentativité et d’exemplarité. L’implication duprésident et du conseil d’administration dans la miseen place de la charte démontre largement leurs enga-gements.

Droits de l’homme

• Principe 1 : Les entreprises sont invitées à promouvoir et à respecter la protection du droit international relatif auxdroits de l'homme.

• Principe 2 : Les entreprises sont invitées à veiller à ne pas se rendre complices de violations des droits de l'homme.

Normes internationales du travail

• Principe 3 : Les entreprises sont invitées à respecter la liberté d'association et à reconnaître le droit de négociationcollective.

• Principe 4 : Les entreprises sont invitées à contribuer à l'élimination du travail forcé ou obligatoire.

• Principe 5 : Les entreprises sont invitées à contribuer à l'abolition effective du travail des enfants.

• Principe 6 : Les entreprises sont invitées à contribuer à l'élimination de toute discrimination en matière d'emploi et deprofession.

Environnement

• Principe 7 : Les entreprises sont invitées à appliquer l'approche de précaution aux problèmes touchant à l'environne-ment.

• Principe 8 : Les entreprises sont invitées à prendre des initiatives tendant à promouvoir une plus grande responsabilitéen matière d'environnement.

• Principe 9 : Les entreprises sont invitées à favoriser la mise au point et la diffusion de technologies respectueuses del'environnement.

Lutte contre la corruption

• Principe 10 : Les entreprises sont invitées à agir contre la corruption sous toutes ses formes, y compris l'extorsion defonds et les pots-de-vin.

Pour en savoir plus, rendez-vous sur le site www.pactemondial.org

Les dix principes du pacte mondial des Nations Unies

1 http://www.theiia.org/blogs/chambers/index.cfm/post/Seven%20Attributes%20of%20the%20Ethical%20Internal%20Audit%20Leader

Documents

L’ÉTHIQUE DANS LES ORGANISATIONS - Chapters Site ACI 219... · ou au Royaume Uni « UK Bribery Act », les multinationales françaises ont mis en place de véritables progammes