"L`auditeur francophone" N°11x
Transcription
"L`auditeur francophone" N°11x
N°11/ octobre 2012-avril 2013 EDITORIAL Je vous adresse mon dernier éditorial de l’Auditeur Francophone. Après quatre années de Présidence de l’Union Francophone de l’Audit Interne, dont trois en tant que directeur de la publication, je tire ma révérence. J’ai bien un petit pincement au cœur en quittant ces tâches passionnantes, mais je pense que la fierté de ce qui a été accompli et la joie de voir l’Auditeur francophone continuer son chemin prennent le dessus émotionnellement. La pérennité de l’Auditeur Francophone est toujours assurée par le responsable de la rédaction, Nourdine Khatal, qui sera soutenu par la nouvelle Présidente de l’UFAI, Mireille Harnois. Malgré une publication un peu tardive, cette édition de l’Auditeur Francophone est riche en articles et nouvelles. Nous nous rendons tout d’abord au Mali, pays qui, s’il fait malheureusement la une des médias à cause de la situation politique et militaire, est déterminé à améliorer la gestion publique. Dramane Sidibé nous expose la démarche d’amélioration du contrôle interne public. Dans la lutte contre la fraude, Joël Winteregg nous présente la démarche logicielle de la start-up qu’il a lancée. Cette démarche qui accompagne les différentes fonctions intégre le concept actuel des trois lignes de défense. leurs observations au sujet des manipulations des besoins dans les opérations d’achat. On s’est tous demandé une fois ou l’autre, comment se fait-il que telle construction a pu être construite alors que personne ou presque ne l’utilise. Vous en saurez plus en lisant cet article. Je vous souhaite une excellente lecture. Bien à vous Denis Neukomm, Président de l’UFAI (2008-2012) Audit interne : assurance ou consulting ? La définition de l’audit interne inclut les deux activités. La mise en pratique, par contre, peut poser quelques difficultés. Philipp Wilhelm et Stéphane Gartenmann de Suisse nous proposent de faire le tour actuel de la question. Le point de vue sur l’apport de l’auditeur interne à la mission de l’auditeur externe. Voilà l’article que nous propose Djamel Melhanes et qui doit certainement intéresser nombre d’entre nous. Quel est le point commun entre Fukushima et Tommaso Capurso, ancien Vice-Président de l’UFAI pour l’Europe ? Un terme encore peu connu : les cyndiniques. T. Capurso nous ouvre la porte à la « science des dangers » et présente les apports potentiels pour les auditeurs internes intéressés à la gestion des risques. Je suis heureux de transmettre le témoin à Mireille Harnois et lui souhaite au moins autant de bonheur que j’en ai eu avec l’UFAI et l’Auditeur Francophone. Toujours dans le domaine de la fraude, Noël et Yoanna Pons nous font part de Lettre trimestrielle « Auditeur Francophone » n°11 –P 1 N°11/ octobre 2012-avril 2013 SOMMAIRE 3 Conseil d’entreprise par l’audit interne. 9 Nomination de M. Guy Lavallée au bureau Directeur de l’UFAI. 10 Les cindyniques ou «sciences du danger», au service des auditeurs internes et risk managers. 15 La Stratégie nationale du contrôle interne (SNCI), vers la certification des comptes publics du Mali. 18 L’apport de l’audit interne à la mission de l’auditeur externe. 19 La manipulation des besoins dans les opérations d’achat. 22 Prévenir la fraude bancaire sans y laisser sa chemise. 23 Echos des Instituts et Associations. Lettre trimestrielle « Auditeur Francophone » n°11 –P 2 CONSEIL D’ENTREPRISE PAR L’AUDIT INTERNE Éléments et spécialisation des prestations de conseil de l’audit interne. Philipp A.F. Wilhelm Stéphane Gartenman Par définition, l’audit interne (AI) délivre des prestations d’audit et de conseil. Le conseil par l’AI peut suivre différentes approches et complète les prestations de conseil d’autres prestataires de services. La spécialisation d’un AI divisé en auditeurs et en conseillers apporte de la valeur ajoutée à l’entreprise. 1. INTRODUCTION : La tâche principale1 de l’audit interne (AI) est de délivrer indépendamment des prestations d’audit et des prestations de conseil. Le but de ces prestations est d’aider l’entreprise à atteindre ses objectifs. Pour cette raison, l’AI analyse systématiquement et dans un but bien précis les processus de gestion et de surveillance, surtout le système de contrôle interne et la gestion du risque. Se basant sur ses analyses, l’AI élabore des options d’action afin de protéger l’entreprise des risques inaperçus et d’exploiter ses chances ouvertes. Cette définition est valide pour l’audit ainsi que pour le conseil. À première vue, la contribution de l’AI au succès de l’entreprise semble se fonder, principalement, sur ses prestations d’audit. À ces prestations sont dédié la plus grande partie du discours dans les associations professionnelles, dans les publications et dans les entreprises. Ceci est aussi dû au fait qu’un audit porte sur trois parties (mandant, auditeur, audité) tandis qu’un conseil implique seulement deux parties (conseiller, conseillé). Malgré une thématisation limitée, le conseil par l’AI a un grand potentiel qui peut être utilisé grâce à sa valeur ajoutée directe et ses impacts positifs indirects aux prestations d’audit. 2. PRESTATIONS DE CONSEIL PAR L’AI : Les prestations de conseil2 de l’AI ciblent les processus de gestion et de surveillance, surtout le système de contrôle interne et la gestion du risque. Pour cette raison, le conseil par l’AI est un conseil de management. Étant une prestation de support, il se démarque du management qui exerce d’une façon autonome la gestion de l’entreprise. Il y a un éventail d’approches de prestations de conseil3 qui se différencient par leur impact sur l’entreprise (voir tableau 1). 2.1. APPROCHES DE CONSEIL D’ordinaire, les prestations de conseil par l’AI sont des expertises. Dans une expertise, les conseillers utilisent leurs connaissances spécialisées pour déterminer et documenter l’état et les potentiels de l’entreprise. Les mandants attendent des conseillers, non seulement une technicité, mais aussi leur objectivité et impartialité. Le contact entre les conseillers et l’entreprise sert uniquement à obtenir des informations. Ceci différencie les expertises des autres approches de conseil et limite son impact direct. Une expertise se termine avec un rapport final. Une expertise standard apprécie la concordance d’un fait avec un standard, par exemple avec les normes ISO 27001, avec des principes de révision ou avec des recommandations que l’AI a donné dans les audits antérieurs. Dans une appréciation, le conseiller donne son opinion à propos d’une problématique. Souvent, cela nécessite de choisir des priorités (p.ex. entre la performance et les coûts d’un contrôle). Dans une expertise conceptuelle, le conseiller esquisse les éléments principaux pour une solution porteuse d’avenir à une question de l’entreprise. Le conseil d’entreprise systémique interprète une organisation comme un organisme vivant. Au lieu de chercher des causes et effets objectifs, les conseillers systémiques se concentrent sur les vues subjectives des acteurs et sur l’interaction flexible des éléments de l’organisation avec leur environnement. Les conseillers créent des hypothèses à l’aide d’interviews, d’analyse de documents et d’observations. Ensuite, avec comme point de départ des connaissances professionnelles spécialisées, ils proposent de nouveaux modes de travail ou des questions spécifiques. Les effets de ces dispositifs sont mesurés et, si nécessaire, d’autres dispositifs suivent. Pour avoir du succès, les conseillers de l’AI nécessitent un savoir, des méthodes Lettre trimestrielle « Auditeur Francophone » n°11 –P 3 sociologiques et la pratique du conseil systémique. C’est pourquoi, le conseil d’entreprise systémique est normalement réservé aux conseillers de l’AI à plein temps. des compétences de coaching qui surpassent les compétences de coaching exigées dans les audits. Une approche de DO est utilisée uniquement dans un AI avec des conseillers à plein temps. Le développement de l’organisation (DO) sert à adapter l’entreprise d’une manière évolutionnaire aux changements dans son environnement ou dans l’entreprise elle-même. Le conseiller rend l’entreprise apte à planifier et à gérer les processus d’adaptation elle-même et à institutionnaliser le changement comme processus permanent. Le conseiller de DO peut agir comme conseiller de processus en créant et en optimisant les conditions générales pour le processus de DO. En influençant aussi le contenu des processus, il peut également agir comme promoteur qui développe ou supporte activement des solutions et des propositions d’amélioration et qui diminue la résistance. Si ces interventions actives sont seulement ponctuelles, on appelle le conseiller de DO «interventionniste». Le DO est bien approprié aux prestations objectives du conseil de l’AI, car il est dirigé vers les processus et laisse le contrôle et la responsabilité aux personnes concernées. Ceci est particulièrement valable pour les accompagnements de projets et le conseil à bas seuil dans le cadre d’une participation de l’AI dans des comités. Les projets de DO touchent normalement de grands changements organisationnels et nécessitent, par conséquent, des ressources suffisantes et un engagement à long terme. Ils exigent Une approche d’ingénierie des processus se dirige, pour la recherche de solutions, vers les exigences de rendement et d’information des processus. Les conseillers de l’AI n’assument pas de responsabilité dans l’application des solutions et utilisent le numérique pour découpler les domaines spatiaux, temporels et personnels des processus. Aux interfaces des processus, des niveaux de rendement sont définis. Dans cette approche de conseil, l’AI recommande souvent de nouvelles interconnexions innovatrices avec d’autres processus internes et externes. L’ingénierie des processus permet systématiquement des innovations de processus. Cependant, le conseil de l’AI ne devrait pas s’arrêter à des questions superficielles. Le choix d’approche de conseil devrait aussi tenir compte des causes profondes comme les problématiques de pouvoir, les questions de compétence ou des aspects sociaux. Les missions de l’AI d’ingénierie de processus servent principalement pour les organisations avec des processus bien établis et de haute qualité. Sinon, les missions risquent de devenir des travaux fondamentaux de processus qui dépassent leurs limites de temps et perdent leur focalisation sur les processus de surveillance et de gestion. Dans la gestion à durée détermi- née, le conseiller ne donne pas seulement une prestation conseil, mais il assume également une responsabilité opérationnelle dans l’entreprise. Par conséquent, le conseiller perd son objectivité par rapport à son domaine de responsabilité opérationnel. De plus, une telle activité risque de créer l’impression d’une objectivité perdue dans des domaines voisins et elle entrave la perception de l’indépendance de l’AI dans toute l’entreprise. Pour ces raisons, la gestion à durée déterminée devrait être évitée comme approche de conseil par l’AI. Si elle est choisie quand même, il est nécessaire de respecter le délai d’attente annuel selon les standards professionnels4 pour un audit par les réviseurs internes dans un domaine dans lequel ils avaient une responsabilité opérationnelle. L’AI peut exercer un effet de consultant sur les affaires à l’aide de la formation5. Par exemple, l’AI peut transmettre des connaissances de la méthodique des audits, ainsi que sur la manière d’écrire des rapports d’audit aux nouveaux employés des partenaires internes de surveillance. Il peut aussi promouvoir le savoir des experts chevronnés en ce qui concerne les mesures spécialisées dans la sécurité en matière de technologies de l’information. 2.2 DÉMARCATION ENTRE CONSEIL D’ENTREPRISE ET AUDIT : L’AI sans conseillers spécialisés limite normalement ses prestations de conseil aux expertises. Il serait simplement inefficace Lettre trimestrielle « Auditeur Francophone » n°11 –P 4 d’établir la compétence de conseil et les méthodes pour utiliser d’autres approches de conseil si celles-ci n’étaient pas utilisées fréquemment. Par contre, l’approche pour établir une expertise standard et une appréciation est tout à fait comparable à l’approche utilisée dans un audit (voir tableau 2). Même si l’approche est comparable, une mission d’audit est plus large : elle comporte également une évaluation du risque étendue, une phase d’exploration du champ d’audit, une phase de prise de position pour les audités, une marche à suivre définie pour l’établissement du rapport et la supervision de la mise en œuvre des mesures qui résultent des audits6. En outre, les expertises de l’AI concernent des questions bien précises et ne traitent pas des sujets aussi précis que les audits. Les expertises peuvent avoir certaines caractéristiques des audits et inversement. Par exemple, les évaluations apprécient l’efficacité future d’objets comme des projets ou des mesures politiques. Ils demandent7 une compétence méthodologique élevée, ainsi que beaucoup de ressources parce que l’approche doit répondre aux exigences scientifiques et implique normalement la récolte de données empiriques. Dans la pratique de l’AI, les évaluations sont utilisées uniquement par les employés de l’AI spécialisés dans les évaluations8. Chaque audit possède des aspects de conseil qui sont bien visibles dans les recommandations de l’audit. En plus, l’AI supporte souvent les audités en cas de questions pendant la phase de la mise en œuvre des mesures d’audit prises par la direction de l’entreprise. Malgré les aspects de conseil dans les audits et malgré l’approche dans quelques types conseils partiellement similaires aux audits, les aspects de conseil des deux prestations de l’AI peuvent être différenciés. Les conseillés initient comme mandants un conseil par l’AI tandis que les audits et leurs aspects de conseil sont déterminés par autrui. En outre, la spécialisation plus grande de l’approche de conseil (p.ex. dans le conseil d’entreprise systémique, le DO, l’ingénierie des processus ou les exper- tises conceptuelles) et les matières plus globales des conseils par l’AI sont des démarcations aux aspects de conseil dans l’audit qui restent ponctuels et proches des constatations. 2.3. DÉMARCATION PAR RAPPORT AUX AUTRES PRESTATAIRES INTERNES DE CONSEIL : Dans une entreprise, il y a une offre étendue de prestations avec un caractère de conseil, par exemple les renseignements et les prises de position. A côté de ces prestations ajoutées aux prestations principales, se trouvent les prestations de conseil systématiques, qui sont offertes comme prestation principale par une unité d’organisation avec des conseillers spécialisés. Le tableau 3 montre des prestataires internes qui offrent typiquement des prestations de conseil dans les processus de surveillance et de la gestion et leur degré de spécialisation pour le conseil. Lettre trimestrielle « Auditeur Francophone » n°11 –P 5 Le conseil par l’AI se délimite du conseil comme prestation ajoutée par la démarche systématique de son approche de conseil. Les conseillers à prestation ajoutée, comme p.ex. dans les ressources humaines ou dans le service de communication, sont liés étroitement à une fonction opérationnelle hautement spécialisée et ont, par conséquent, des caractéristiques uniques. Aussi, l’AI n’offre pas de consultations Le conseil par l’AI se délimite du conseil comme prestation ajoutée par la démarche systématique de son approche de conseil. Les conseillers à prestation ajoutée, comme p.ex. dans les ressources humaines ou dans le service de communication, sont liés étroitement à une fonction opérationnelle hautement spécialisée et ont, par conséquent, des caractéristiques uniques. Aussi, l’AI n’offre pas de consultations juridiques. Par contre, les unités d’organisation juridique (p.ex. le service du contentieux ou le secrétariat général) ne disposent pas comme l’AI des compétences spécifiques dans les questions de gestion et dans l’informatique. C’est pourquoi il n’y a pas de chevauchements systématiques dans ces cas. Une démarcation individuelle est nécessaire s’il existe un conseil interne dans l’entreprise qui est délié de l’AI. Les rattachés aux organes de décision et exécution et le contrôle de gestion effectuent régulièrement des clarifications avec des aspects de conseil pour l’appui de la direction. Pourtant, ces activités manquent souvent d’une orientation systématique vers les recommandations, ce qui est un aspect clé pour les prestations de conseil2. S’ils établissent des appréciations systématiques, ces appréciations sont liées étroitement au domaine de leur supérieur hiérarchique. L’AI, par contre, fournit des solutions de conseil intégrées et objectives qui sont ciblées sur l’atteinte des objectifs de l’entreprise elle-même. Les prestations de conseil d’ingénierie des processus devraient être en accord avec la gestion des processus. Grâce à la spécialisation du conseil de l’AI aux aspects de gestion et de surveillance des processus, il y a peu d’intersection avec la gestion des processus, qui sert principalement au soutien de la mise en œuvre des règles techniques de la gestion des processus. Les employés dans la gestion des projets et des innovations assument souvent une responsabilité opérationnelle. Comme on trouve fréquemment des enjeux concrets dans les questions de gestion et de surveillance, il n’y a pas de concurrence, mais plutôt une demande pour les prestations de conseil de l’AI. À côté de leurs activités de contrôle, la compliance, la compliance de l’informatique et la gestion du risque, offrent des prestations de conseil préventives dans le domaine de la surveillance. Néanmoins, il n’y a pas d’alternative aux prestations de conseil par l’AI dès que le mandant est intéressé par la compatibilité des faits avec les exigences des audits de l’AI ou dès qu’il demande des analyses d’efficacité qui vont au-delà des notions formelles de contrôle. Les possibilités de l’AI surpassent celles des autres prestataires sans spécialisation sur le conseil parce que l’AI peut appliquer systématiquement un éventail d’approches de prestations de conseil très élargi, par exemple le conseil d’entreprise systémique, le DO ou l’ingénierie des processus. 2.4.DÉMARCATION PAR RAPPORT AUX PRESTATAIRES EXTERNES DE CONSEIL : Chaque prestation de conseil de l’AI peut également être offerte par des prestataires externes. Pourtant, les compétences spéciales de l’AI dans les questions de gestion et de surveillance dans le contexte spécifique de l’entreprise permettent un travail de conseil plus efficace. Le conseil de l’AI est toutefois demandé quand le besoin de conseil est imprévu et urgent, quand il doit être délivré de manière flexible en dehors des processus budgétaires fastidieux ou alors dans la mesure où il implique des sujets à caractère confidentiel. Au contraire des prestataires externes de conseil, l’AI est indépendant du mandant en apparence et dans les faits. Par conséquent, il ne court pas le risque de produire des expertises par complaisance. En outre, l’AI a l’argument de vente d’être capable de clarifier les exigences futures des audits de l’AI et peut offrir des conseils Lettre trimestrielle « Auditeur Francophone » n°11 –P 6 proches des audits passés avec peu de barrières d’entrée. 3. VALEUR AJOUTÉE PAR LE CONSEIL D’UN AI : Grâce à leur expérience dans diverses entreprises, les conseillers externes sont capables de transférer des solutions éprouvées. Leur avantage est cependant remis en cause dans la mesure où ils doivent d’abord se familiariser avec les pratiques de l’entreprise. Il existe aussi l’éventualité qu’ils transfèrent les solutions de l’entreprise aux concurrents. L’AI est également en bonne position pour transférer des solutions éprouvées dans toute l’entreprise. Comparé avec un AI qui contient des prestations d’audit et de conseil intégrées, les prestataires externes de conseil ont l’avantage d’une grande spécialisation. Ils travaillent régulièrement dans des projets de conseil similaires et peuvent élargir leur approche théorique et leurs expériences pratiques. Un AI est seulement capable d’offrir ses prestations de conseil avec une expérience pratique étendue et avec un choix important d’approches s’il permet la spécialisation de quelques-uns de ses employés aux prestations de conseil. La qualité des processus et du travail de l’AI, la compétence de ses employés et la mise en œuvre de ses recommandations (efficacité9) sont des facteurs d’influence importants pour la capacité d’un AI à créer une valeur ajoutée dans l’entreprise. L’AI peut augmenter nettement sa valeur ajoutée grâce à ses prestations de conseil (voir tableau 4). La compétence d’audit est nécessaire pour pouvoir délivrer des prestations de conseil. Cependant, il faut établir une compétence spécifique de conseil au-delà des compétences d’audit. Si l’AI ne veut pas seulement offrir des expertises proches des audits, mais également des approches de conseil plus vastes, les conseillers de l’AI nécessitent une formation ciblée. La compétence de ces méthodes doit être soignée via une pratique de conseil adéquate, ce qui est possible si l’on utilise des conseillers spécialisés à plein temps. Sans les compétence des employés de l’AI, il n’est pas possible de réaliser de la qualité et de la valeur ajoutée. La qualité des prestations de l’AI augmente si tous ses processus d’audit et de conseil sont définis et mis en œuvre. La qualité doit être mesurée et gérée à travers des variables de référence. Une spécialisation des prestations de conseil de l’AI améliore également la qualité. Avec un taux de conseil élevé dans leur travail, les employés de l’AI peuvent encore mieux assimiler les processus. Ceci leur permet, alors, d’appliquer les processus avec plus de cohérence et de les améliorer encore d’avantage à l’avenir. Grâce à ses activités de conseil, l’AI a accès à des informations actuelles qui lui permettent d’augmenter la qualité de ses évaluations du risque. Cela améliore le planning des audits et augmente par la même occasion la qualité des audits. Si l’AI emploie des conseillers à plein temps, il lui est plus facile de prendre part dans certains comités de l’entreprise. Le rôle des conseillers dans les comités est plus clair grâce à leur délimitation personnelle10 des auditeurs et c’est ainsi que l’AI peut éviter des déterminations précipitées et des conflits d’intérêts lors d’audits futurs. Le conseil, dans une phase antérieure de projet, permet une persistance plus grande du travail de l’AI parce que des trouvailles futures de l’AI peuvent être évitées d’entrée. Grâce aux Lettre trimestrielle « Auditeur Francophone » n°11 –P 7 prestations de conseil, la compétence et la qualité de l’AI sont plus facilement perçues, ce qui augmente la réputation de l’AI dans l’entreprise et aide à démonter des préjugés et des barrières mentales par rapport au travail de l’AI. Le gain de compétence par un conseil de l’AI spécialisé augmente la qualité et cause des audits et conseils plus efficaces. 4. BILAN : Les prestations de conseil font partie de la mission clé de l’AI. Il y a de multiples approches de conseil, des expertises sans influence directe à l’organisation, le conseil d’entreprise systémique, l’approche de développement de l’organisation, l’ingénierie des processus et, exceptionnellement, la gestion à durée déterminée. Les prestations de conseil de l’AI se démarquent des prestations des autres prestataires internes de conseil. Par rapport aux prestataires externes, l’AI a plusieurs avantages concurrentiels. Une spécialisation de l’AI aux audits et aux prestations de conseil peut augmenter la compétence de ses employés et améliorer ses processus et l’efficacité de ses résultats de travail. De cette manière, la spécialisation de l’AI renforce la confiance du Conseil d’administration, de la Direction d’entreprise et des conseillés et audités envers l’AI et augmente sa valeur ajoutée. Notes: Voir la définition de l'Audit Interne selon les standards (IPPF) de l'Institute of Internal Auditing. 1 Pour la définition de conseil d'entreprise, voir Wilhelm, Philipp «Unternehmungsberatung aus der Sicht des Wirtschaftswissenschafters», Portrait Schweizer Wirtschafts- und Unternehmensberatungen, 2001. 2 Voir Wilhelm, Philipp «Beratung ist nicht einfach Beratung: Beratungsansätze zur Auswahl», Portrait Schweizer Wirtschafts- und Unternehmensberatungen, 2001. 3 Les standards professionnels demandent comme mesure préventive contre la perte d'objectivité des auditeurs à cause de la gestion à durée déterminée que chaque réviseur interne ne doit pas auditer un domaine pendant une année dans lequel il avait une responsabilité opérationnelle (IPPF1 1130.A1). Dans le cas du Directeur de l'AI, le domaine doit être audité seulement par une partie externe à l'AI (IPPF 1130.A2). Les prestations de conseil d'entreprise et la gestion à durée déterminée sont permises dans ces domaines sans délai d'attente (IPPF 1130.C1), chaque limitation potentielle ou actuelle de l'objectivité du conseiller doit être communiquée aux clients du conseil avant la conclusion du contrat de conseil (IPPF 1130.C2). 4 Voir http://www.seval.ch/fr/documents/SEVAL_Standards_2001_fr.pdf. 7 Par exemple, en Suisse le Contrôle fédéral des finances (CDF) a spécialisé son centre de compétences numéro 5 aux audits de rentabilité et les évaluations. 8 Dans le cas d'un équipement personnel performant et d'une grande efficacité (effectiveness) de l'AI, on peut déduire une performance (efficiency) raisonnable de l'AI. Pour les assurances Suisses avec un métier principal et sans activités à l'étranger, 2 employés de l'AI sur 1'000 employés de l'entreprise sont regardés comme référence performante. La taille de l'AI moyenne pour les assurances allemandes, autrichiennes et suisses était en 2011 selon une enquête du DIIR 4.3 employés dans l'AI par 1'000 employés de l'entreprise. 9 Un exemple ancien pour une telle séparation se trouve chez Bruno, Francis A. «An Approach to Quality Internal Auditing», Internal Auditor, August 1994, page 62: il décrit comment la séparation était introduite dans l'AI de AT&T Universal Card Services pendant l'introduction d'une stratégie de Total Quality Management Strategie dans l'AI. 10 La formation n'est pas une approche de conseil dans un sens théorique mais c'est une plateforme idéale pour la prestation de conseil à bas seuil. 5 Dans la phase d'exploration, l'évaluation grossière du risque du planning annuel est suppléée par les informations en détail du champs d'audit. Cela sert à préciser la mission et le programme de travail l'audit. 6 Auteur Philipp A.F. Wilhelm, Dr.oec.HSG, CEMS MIM, CIA, CISA, CEH, CFE, QA, Chef du groupe assurance de l’ASAI, Directeur de l’Audit Interne de la Suva, Lucerne, Stéphane Gartenmann, MSc. en sciences actuarielles UNIL, Auditeur Interne, Suva, Lucerne. Lettre trimestrielle « Auditeur Francophone » n°11 –P 8 Nomination de M. Guy Lavallée à titre de Vice-président, Amérique du Nord et Caraïbes au sein de l'Union Francophone de l'Audit Interne. Monsieur Guy Lavallée, CPA, CA, occupe le poste de directeur de l'audit interne et des enquêtes du Curateur public du Québec depuis 2009. Il cumule près de vingt ans d'expériences en audit externe et interne ainsi qu'en gestion financière et administrative des organisations. Il a également travaillé en cabinet ainsi qu'au Bureau du Vérificateur général du Québec et au Contrôleur des finances du Québec. En outre M. Lavallée s'implique au sein de la profession de l'audit interne depuis 2006. Il occupe le poste de président de l'IAI Québec depuis 2010 et est également membre du groupe de travail Gouvernance et audit interne de l'Ordre des comptables professionnels agréés du Québec. Bienvenue à monsieur Lavallée au sein de notre grande famille de l’UFAI. Lettre trimestrielle « Auditeur Francophone » n°11 –P 9 Les cindyniques, ou « sciences du danger », au service des auditeurs internes et risk managers. Tommaso Capurso MIA, CIA, CCSA, EFARM, CRMA Tommaso Capurso, Chef de la Division d’audit “Opérations et Systèmes techniques” à la SNCB Holding, le holding de la société nationale des chemins de fer belges, a appliqué les cindyniques à la catastrophe de Fukushima. Il nous explique l’intérêt de la méthodologie et de l’exercice. Pouvez-vous nous rappeler l’origine des « cindyniques » ? Tommaso Capurso: Les « cindyniques », littéralement du grec « kindunos » ( dangers ), représentent l’ensemble des sciences et des techniques qui étudient les risques naturels et technologiques et leurs préventions. Ce néologisme a été développé par Georges-Yves Kervern, qui l’a présenté lors du Colloque international sur les risques, organisé les 7 et 8 décembre 1987 à l’UNESCO. Le concept a ensuite été publié dans un premier livre, « L’archipel du danger », qu’il a coécrit avec Patrick Rubise. Les cindyniques font partie du courant de pensée « systémique ». Ce courant considère l’organisation comme un système complexe, composé d’éléments en interaction et interrelation permanente entre eux et avec l’environnement. L’idée de «système » se retrouve déjà chez les philosophes grecs de l’antiquité qui voient l’univers comme un tout dont les parties sont interdépendantes les unes des autres. Le biologiste Ludwig Von Bertalanffy, a développé dès 1932 la théorie générale des systèmes dans le but d’identifier les règles qui « organisent les relations et les interactions entre les parties des organismes ». Les cindyniques présentent plusieurs spécificités, dont notamment le fait de caractériser chaque acteur par cinq attributs ou cinq axes, constituant son « hyperespace du danger » (voir encadré 1). L’organisation peut alors être modélisée comme l’interaction d’un « réseau » d’acteurs. In fine, il s’agit d’identifier les incohérences (déficits, dissonances), à l’aide d’une typologie spécifique et d’un langage particulier, incluant : • les « déficits » : ambiguïtés et incohérences au sein d’un hyperespace du danger • les « dissonances » : différences entre les hyperespaces des différents réseaux d’expérience de sinistres majeurs. L’approche cindynique, en modélisant les interactions des réseaux d’acteurs, permet de représenter les différents maillons de la chaîne, leurs faiblesses et ce qui conduit à un accident. L’accident relève généralement d’une défaillance des interactions dynamiques dans tout le système et non simplement d’un événement pris à part. Trop souvent, on pointe l’erreur humaine (fatigue, Encadré 1: L’hyperespace du danger Pourquoi avoir appliqué les cindyniques à Fukushima ? Tommaso Capurso: Je me suis intéressé aux cindyniques depuis plusieurs années, bien que le concept puisse sembler assez « rébarbatif » au départ. L’AMRAE et le Carm Institute m’ont donné l’opportunité, à l’occasion de la Conférence « 20 ans » de Deauville de février 2012, d’en illustrer les potentialités d’application pratique. « Fukushima » avait été retenu comme cas d’étude pour tirer le retour distraction, erreur de mémorisation ou d’interprétation,…). Cependant, le retour d’expérience montre que les catastrophes sont de nature multicausale et constituent un « accident de l’organisation », comme l’a très bien résumé l’European Railway Agency en 2010. La Commission d’enquête de 2003 sur l’accident de la navette spatiale Columbia est arrivée à la même conclusion : les navettes Columbia et Challenger ont été perdues en raison de la défaillance du système d’organisation Lettre trimestrielle « Auditeur Francophone » n°11 –P 10 de la NASA et des défauts persistants et systémiques. La commission mandatée par le Parlement japonais pour faire la lumière sur l’accident nucléaire à la centrale de Fukushima précise dans son rapport final du 4 juillet 2012, que « l’accident est le résultat d’une collusion entre le gouvernement, les agences de régulation et l’opérateur TEPCO, et d’un manque de gouvernance de ces mêmes instances ». Le rapport poursuit : « Les causes fondamentales sont les systèmes d’organisation et de régulation qui se sont basés sur des logiques erronées dans leurs décisions et leurs actions, et non pas un problème de compétence d’un individu en particulier ». Quelle méthodologie avez-vous développée pour l’application très technique des cindyniques ? Tommaso Capurso: Il s’agit d’une démarche assez complexe en sept étapes (Voir encadré 2). Encadré 2 Etape la modélisation du système spécifique à analyser. Un « système » étant ouvert, où s’arrêter (dans l’espace, dans le temps) dans la prise en compte des acteurs ? Dans l’espace, il s’agit de déterminer les limites des réseaux d’acteurs à considérer, donc d’effectuer l’inventaire des acteurs/ organisations essentiel(le)s tant au niveau stratégique (macrostructure organisationnelle, acteurs nationaux ou internationaux de la réglementation, acteurs du contrôle et de l’agrément, acteurs relatifs à la conception, aux processus de décision, au retour d’expérience,…) qu’au niveau directement opérationnel. Dans le temps, comme les licences d’exploitation ont été accordées à TEPCO entre 1966 et 1972, la « fenêtre de temps » à considérer dans l’analyse est relativement large, soit pratiquement un demi-siècle ! La troisième étape consiste à élaborer Objectif 1 Définir la situation cindynique 2 Elaborer une description du système ou de l’organisation 3 Elaborer et étudier les hyperespaces associés aux réseaux d’acteurs 4 Repérer les déficits systémiques cindynogènes, les déficits des systèmes cindyniques et les dissonances 5 Etablir la matrice de synthèse et de corrélation acteurs/ dysfonctionnements cindyniques 6 Rédiger un résumé narratif 7 Déduire les actions de réduction des déficits et dissonances En premier lieu, il faut décrire la situation, dans une approche qui peut être : • soit prospective (a priori) : analyse de risque (danger potentiel) ; • soit rétrospective (a posteriori) : évaluation des constats (incident, presqueaccident, accident, catastrophe). Dans le cas de l’application à Fukushima, c’est cette deuxième option qui était pertinente. Ensuite, deuxième étape, il y a lieu d’élaborer une description du système dans le temps et l’espace. Il s’agit d’une étape déterminante : et étudier les « hyperespaces ». Chaque acteur est modélisé et représenté dans son « hyperespace du danger ». Les interactions (flux de communication, d’échanges d’information) entre ces espaces (ou au sein d’un espace d’un acteur donné) sont identifiées et repérées (numérotées) sur base des missions, rôles et responsabilités conféré(e)s à chaque acteur (voir encadré 3). Ces interactions peuvent être dessinées à l’aide d’un logiciel usuel de modélisation de processus (« flowcharts »). La quatrième étape vise à repérer les « déficits » et les « dissonances ». Ceci nécessite une familiarisation avec le vocabulaire atypique des cindyniques. Une même interaction peut parfois être caractérisée simultanément par différents attributs. La typologie de G.-Y. Kervern sert de base de questionnement (tel un « menu ») et inventorie exhaustivement : • 10 déficits systémiques cindynogènes (DSC) (4 culturels, 2 organisationnels, 4 managériaux) ; • 5 dissonances (D) ; • 27 déficits des systèmes cindyniques (Dsc). Cette étape permet l’identification des écarts de perception entre acteurs, souvent sources de dysfonctionnements et de risques. Disposent-ils des mêmes données statistiques et sontelles interprétées de la même façon ? Les modèles de représentation sont-ils cohérents ? Les finalités de ces acteurs sont-elles alignées ? Les cadres normatifs et les règles sont-ils appliqués avec la même rigueur par chacun ? Les « valeurs » ainsi que leur priorisation (par exemple « sécurité » versus « productivité ») sont-elles partagées ? Une fois la caractérisation opérée, la cinquième étape a pour but d’établir les matrices de corrélation et de synthèse acteurs/ dysfonctionnements cindyniques. Ces matrices consolident le potentiel cindynique de l’organisation et de ses principales parties prenantes. Il s’agit de structurer l’inventaire établi (voir l’exemple de l’encadré 4). Une fois ces matrices établies, il peut être utile de rapporter les résultats (à la hiérarchie, à la Direction générale ou à un Comité d’audit, un Comité des risques,……). L’étape six consiste donc à faire un résumé narratif notamment pour éviter au lecteur d’avoir à décoder le tableau à rallonges des corrélations acteurs/déficits ou les flowcharts, souvent complexes et encombrants. La septième et dernière étape vise à tirer les enseignements des écarts constatés et proposer des actions de suppression ou de réduction du risque (voir encadré 5). Lettre trimestrielle « Auditeur Francophone » n°11 –P 11 Quelles conclusions tirez-vous de l’utilisation pratique des cindyniques, en particulier de l’application à la catastrophe de Fukushima ? Tommaso Capurso : L’approche cindynique est générale/ générique en matière de gestion des risques. Elle est adaptable à la complexité du problème /de la situation. Elle constitue une méthode systémique de représentation qui permet de mettre en évidence l’interaction dynamique entre les acteurs, en même temps qu’elle permet la mise en perspective du contexte avec les connaissances des acteurs sur la situation de danger. Elle facilite la compréhension et la modélisation du «système» et de son «cycle» d’évolution (événements, décisions…), la structuration des résultats, l’identification de ce qu’il faudrait modifier dans le système pour qu’un sinistre ne puisse pas se reproduire (ou du moins, que sa probabilité soit réduite). Enfin, elle permet aussi d’exprimer une opinion sur la gestion des risques. Toutefois, sa maturité, en termes d’application pratique et méthodique, peut encore progresser. La modélisation et les évaluations qualitatives des déficits (basées sur une typologie empirique), nécessitent une interprétation de la part de l’utilisateur. Des omissions ou des redondances restent possibles dans l’inventaire des diagnostics. Un jugement d’expert « métier » est requis pour couvrir les aspects stratégiques et opérationnels. Un apprentissage progressif est nécessaire. Il faut d’abord débuter par un cas concret simple avant d’aboutir à une application réellement systématique et des limites apparaissent en cas de spécificités opérationnelles ou sectorielles. Il est sans doute prudent de procéder à une validation croisée des conclusions via d’autres approches ou modèles (modèles socio-techniques, modèles intégrés de sécurité,…). • une confiance excessive dans l’innovation et le progrès technique ; • la négligence de risques considérés comme maîtrisés depuis longtemps ; • une dilution des responsabilités ; • l’insuffisance de moyens pour limiter les effets de la catastrophe. Les auditeurs internes et risk managers disposent maintenant d’un outil puissant de maîtrise des risques, pouvant les aider à faire face, avec discernement, à des situations à haut risque et créer de la valeur ajoutée dans leurs organisations. Néanmoins, pour paraphraser le célèbre dicton : Rome n’a pas été faite en un jour. Les cindyniques non plus ! On retrouve dans le cas de l’accident de Fukushima les ingrédients qui, comme l’a indiqué Antoine de Boissieu, ont été à la source de nombreuses catastrophes industrielles par le passé : Encadré 3 : « Tentative » de modélisation des acteurs concernés par l‘accident de Fukushima. C’est ainsi que l’on voit apparaître notamment : • Les instances ministérielles (MEXT, METI,…) structurées en cascade jusqu’au cabinet du Premier Ministre, assurant à la fois la promotion de l’énergie nucléaire et la supervision de la réglementation • le régulateur (NISA) • l’organisme de contrôle (le « TSO ») • l’exploitant (TEPCO) D’autres acteurs interviennent également dans : • le retour d’expérience en matière d’exploitation des centrales nucléaires : le réseau ETSON des organismes de contrôle et l’association mondiale des exploitants de centrales nucléaires (WANO) • la conception initiale de l’époque (l’US NRC) • la maîtrise de l’utilisation sûre des technologies liées au nucléaire (inspection, information, recherche) (l’AIEA) • la consolidation du reporting et des bases de données au niveau international jusqu’à l’OCDE… CABINET OFFICE NSC AEC OCDE NEA [UE] IRS (International Reporting System) Base données (~8000 incidents rapportés) AIEA (Nuclear safety Commission (Atomic Energy Commission) (Nuclear Energy Agency) Input = philosophie nucléaire Regional Authority NB:Directives en radio protection, mais pas d'harmonisation de la sûreté MEXT [WENRA] Western European Nuclear Regulators Association JAEA OFF-SITE CENTER US NRC (Nuclear Regulatory Commission) WANO World Association Nuclear Operators (Ministry Energy, Trade & Industry) (Japan Atomic Energy Agency) "Preparedness" Plan d'urgence Input R-Ex annuel par pays: description; codification; leçons; actions correctives) METI (Ministry Education... Technology) Règles initiales de conception Echanges R-Ex Peer review indépte du TSO Basic Law SAFETY REGULATOR: Supervision & audit of safety regulation NISA (Nuclear Safety and Industry Agency) Basic design Contrôles TSO (Technical Safety Organization) (JNESO) Proposition normes et critères de design R-Ex Approbation Inspections Network of TSO's (= ETSON network in Europe) TEPCO Lettre trimestrielle « Auditeur Francophone » n°11 –P 12 Encadré 4 : Extrait d’une « grille cindynique » selon les cinq axes Axe cindynique Commentaires 1. Faits Déficit cognitif et d’apprentissage (« learning deficiency ») : historique, ampleur et probabilité des tsunamis… 2. Représentations et modèles Manque d’adaptation des modèles par rapport aux retours d’expérience. Défaillance dans la capacité de remise en cause du design de la centrale et des hypothèses opérationnelles. 3.Objectifs Non-priorisation claire entre finalités (NISA vs. TSO en particulier : séparation de fonctions). Fragmentation organisationnelle et formalisme administratif. 4. Règles Absence de cadre réglementaire (guidance claire et harmonisée, normes) en matière de design et d’évaluation de la sécurité (séismes, accidents graves). Manque de prise en compte d’évènements « complexes » (impact multi sites, SBO (« Station Blackout »),…). Manque de préparation à la gestion d’une situation d’urgence nucléaire (coordination et harmonisation des méthodes et moyens techniques nationaux d’appui). 5.Culture Manque de diffusion de la culture organisationnelle de la sécurité (« safety consciousness ») dans toutes les instances engagées dans des activités nucléaires. Encadré 5 : Propositions d’actions de réduction ou de suppression du risque Rubrique Action de réduction. Quelques exemples relatifs à « FUKUSHIMA ». La technique Prévoir, pour les situations d’urgence, des moyens de (télé) communication restant fonctionnels dans des conditions de « SBO ». Revoir la conception des dispositifs de monitoring des installations en vue d’acquérir l’information pertinente, la vue d’ensemble et permettre la prise de décision adéquate (évacuation,…). L’humain Faire évoluer la culture technique “culture sociotechnique” culture de sécurité (réglée à gérée). « Disaster training » (« emergency response »). L’organisationnel Le régulateur doit définir la méthodologie (guides, normes…) pour la prise en considération ad hoc des tsunamis, les mesures de conception et les critères d’évaluation de leur efficacité. « Emergency Preparedness » : définir les mesures pour assurer la fonctionnalité opérationnelle, e.a. « Off-site » (Nuclear Emergency Response Headquarter) même en cas de catastrophe à grande échelle. Définir les modes de coopération (vs. fragmentation excessive du travail). Analyse de risque formelle, à tenir à jour et à communiquer aux instances pour décisions. Evaluer la robustesse des centrales (« stress test »). Améliorer l’indépendance du régulateur (séparer NISA du METI) vers une Agence unifiée (« Nuclear Safety and Security Agency »). L’environnement Echanger avec les autres réseaux afin d’améliorer les connaissances scientifiques, technologiques, … en matière de tsunamis (à défenses en profondeur). Lettre trimestrielle « Auditeur Francophone » n°11 –P 13 Tommaso Capurso nous en dira un peu plus sur les cindyniques à l’occasion de la prochaine Conférence internationale de l’IIA à Orlando (15 au 17 juillet 2013). Bibliographie : • « Les sciences du danger au service de l’analyse des accidents », T.Capurso. Propos recueillis par D. Kapp, revue « Face au risque », n°488, déc. 2012 • « L’archipel du danger » G.-Y. Kervern et P. Rubise, Ed.Economica, 1991 • « Cindyniques – Concepts et mode d’emploi », G.-Y. Kervern et P.Boulanger, Ed.Economica, 2007 • Report of the National Diet of Japan Fukushima Nuclear Accident Independent Investigation Commission (04/07/2012) • « US Industry Response to the Fukushima Accident », EPRI (Electric Power Research Institute), Lausanne, 3 novembre 2011. • « La modélisation des systèmes complexes », J.-L. Lemoigne • « Introduction à la pensée complexe », E. Morin. • “Project management Body Of Knowledge”, PMI (“Project Management Institute”) • “Advanced System and Safety Engineering Environment”, Nancy Leveson, MIT • “BP: interrogations sur la marée noire”, Antoine de Boissieu, revue Audit & Contrôle internes, IFACI, n°201, septembre/octobre 2010. Lettre trimestrielle « Auditeur Francophone » n°11 –P 14 La Stratégie nationale du contrôle interne (SNCI), vers la certification des comptes publics du Mali Dramane SIDIBE, CIA, DPAI. La recherche de la performance, jusque-là réservée aux entreprises privées, est devenue de nos jours une préoccupation majeure du secteur public africain à cause de la crise économique et financière aggravée du poids insoutenable de la dette publique, de la crise de confiance entre l’Etat et les citoyens et de l’évolution des attentes des usagers. De prime abord, il convient de rappeler que déjà au début du 20ème siècle, cette réflexion a commencé aux Etats-Unis d’Amérique, à travers plusieurs travaux parmi lesquels ceux de la Commission pour l'économie et l'efficacité sur la présentation d'un budget programme en 1912, l’introduction de la notion de contrôle de gestion avec des indicateurs de résultats ou de performance en 1929, la Commission Hoover sur la refonte complète de la structure administrative des ministères en 1947. A cela s'ajoute l'introduction en 1960, dans l'administration des méthodes des grandes entreprises américaines développées dans les années 1920, à savoir le Planning Programming Budgeting System (PPBS) et la reddition des comptes en 1973. Quant à la France, il faudrait signaler successivement l’expérimentation du PPBS sous l’appellation de rationalisation des choix budgétaires (RCB) et en 2006 la loi organique relative aux lois de finance (LOLF) qui fut une révolution dans le domaine de la gestion publique. Face à ces défis lointains mais toujours d’actualité, c’est-à-dire la recherche de l’efficacité dans la gestion publique, le Mali a entrepris de vastes programmes de reforme de l’Etat, dont le Plan d’action gouvernemental pour l’amélioration et la modernisation de la gestion des finances publiques (PAGAM/ GFP) qui constitue le volet «Finance Publique» de cette réforme. Le PAGAM/GFP s’inscrit dans le cadre du Programme de Développement Institutionnel (PDI) faisant également partie intégrante du Cadre stratégique de croissance et de réduction de la pauvreté (CSCRP). En effet, si le premier PAGAM/GFP visait, entre autres, à hisser les systèmes de gestion et de contrôle à un niveau permettant la certification internationale, le second repose sur quatre composantes stratégiques dont la reforme systémique des contrôles exécutif, législatif et judiciaire. Ainsi, la Stratégie nationale du contrôle interne (SNCI), composante du PAGAM/GFP II, balise le cadre stratégique et technique de la réforme du contrôle interne au Mali à travers la responsabilisation, la maîtrise des ressources et des risques par les gestionnaires. Elle s’inscrit également en faveur de la promotion de la gestion axée sur le résultat et le respect des directives communautaires notamment la certification des comptes publics. Comment a t- elle été conçue ? Quel est l’état du contrôle interne public et quels sont les objectifs visés et les résultats attendus ? Nous devons également nous interroger sur le périmètre de ce projet au regard de la complexité de la notion de contrôle interne. Le processus d’élaboration de la SNCI : une forte implication des parties prenantes pour amorcer le changement : Projet transversal conjointement initié par le Commissariat au développement institutionnel (CDI), la Cellule d’appui à la réforme des finances publiques (CARFIP) et le Contrôle général des services publics (CGSP), la Stratégie nationale du contrôle interne est gérée par une Commission mixte placée sous l’autorité du Comité Technique du PAGAM/GF. A cet effet, en plus des responsables du PAGAM/GF, font également partie de cette commission les partenaires techniques et financiers et les représentants de la société civile. La Commission est présidée par le Secrétariat Général du Ministère de l’économie et des finances avec comme maître d’ouvrage le CGSP pour assurer le suivi de l’état d’avancement du projet, l’information des différents acteurs et l’organisation des réunions. L’implication de tous les acteurs avec l’éclairage des représentants de la société civile dont les ordres professionnels (Experts comptables et comptables agréés du Mali et l’Institut de l’Audit Interne du Mali (ACIAM) ) explique toute l’importance de ce projet avec la prise en charge de leurs préoccupations pour une administration publique performante au service des usagers. L’étude de l’environnement ainsi réalisée a passé au crible l’état du contrôle interne public. Un état chaotique du Système de Contrôle Interne Public : Les résultats de l’étude sur l’environnement ont mis en exergue les fai-blesses du système de contrôle interne public justifiant toute l’importance de la Stratégie nationale du contrôle interne. Lettre trimestrielle « Auditeur Francophone » n°11 –P 15 En effet, il ressort de cette étude que tous les niveaux de contrôle souffrent de grandes lacunes, annihilant les efforts de développement du Mali. Les points les plus saillants sont : • pour les contrôles a priori, nous pouvons citer, l’inefficience des contrôles en place, la non couverture des contrôles budgétaires sur les recettes et surtout la non disponibilité, en temps réel, de l’information financière et comptable sur les engagements et les dépenses ; • pour ce qui concerne les contrôles concomitants, il s’agit, entre autres, de l’imputabilité, de l’absence de maîitrise des ressources et de standards dans l’élaboration des manuels de procédures et de leur application, de la non maitrise de la gestion des risques, etc. • Quant aux contrôles a posteriori, l’audit interne stricto sensu est en phase de balbutiement dans l’administration. De même, les structures n’arrivent pas à couvrir tous les champs des opérations publiques. De plus, malgré la multiplicité des organes de contrôle, l’administration publique souffre du manque de d’enracinement de la culture de contrôle. De même, l’absence de coordination des structures de contrôle et de leur professionnalisation constitue une lacune grave à laquelle il faut remédier pour atteindre les objectifs de politique économique. La Stratégie nationale du contrôle interne : une ambition affichée quant aux résultats : Au regard de ces constats plutôt négatifs, « un contrôle interne performant, harmonisé, favorisant la bonne gouvernance et le service aux citoyens » est la vision de ce projet transversal avec quatre objectifs stratégiques déclinés en 19 objectifs opérationnels : Responsabiliser les gestionnaires et sécuriser leur gestion ; • Renforcer la capacité des gestionnaires publics ; •Accroîitre l’imputabilité chez les gestionnaires ; • Implanter, dans les services publics, des systèmes de détection et de traitement de risques ; • Instituer l’audit interne en appui à la gestion ; • Alléger les contrôles a priori : budgétaires, comptables et de passation de marchés publics ; • Promouvoir l’éthique et le respect de la déontologie. Assurer la régularité et l’efficacité des opérations des administrations publiques ; objectifs favorisera, à n’en pas douter, la certification des comptes publics. • Appliquer un contrôle financier sélectif sur les recettes ; • Généraliser l’application des manuels de procédures ; • Appliquer la comptabilité matière dans tous les services ; • Renforcer les systèmes internes de planification, de coordination et suivi ; • Augmenter la couverture géographique des contrôles a posteriori ; • Développer l’audit de la performance ; • Favoriser la connaissance et l’application des textes. La SNCI est – elle appropriée et solide au regard de ses objectifs stratégiques et opérationnels ? Garantir la fiabilité et l’intégrité de l’information publique ; • Améliorer la qualité de l’information financière destinée à la reddition des comptes ; • Renforcer et moderniser le système d’archivage dans les services publics ; • Publier la synthèse annuelle des résultats des missions de contrôle et d’audit du CGSP et des inspections ministérielles ; • Développer l’audit des systèmes informatiques. armoniser et professionnaliser les praH tiques de contrôle et d’audit. • Harmoniser les méthodes de contrôle et d’audit ; • Professionnaliser les corps de contrôle et d’audit. Il en découle, d’une part, que les activités inscrites dans d’autres programmes ou politiques du gouvernement y resteront, mais figureront dans la SNCI pour assurer sa cohérence et, d’autre part, certains objectifs opérationnels et actions liés peuvent permettre l’atteinte de plusieurs objectifs stratégiques. Les objectifs opérationnels déclinés en activités avec les responsables, les indicateurs de performance et les risques associés ont été présentés pour assurer la réussite du projet qui s’étale sur 3 ans (2012- 2014) avec un budget de 7 046 millions de FCFA, soit 10,75 millions d’euros. La réalisation de ces Malgré la qualité du processus d’élaboration avec l’implication de plusieurs acteurs et l’ambition des résultats attendus, ce projet soulève des questionnements encore soumis à discussion. La stratégie nationale du contrôle interne, projet innovateur et transversal, jouera un rôle central dans la conformité de la gestion des finances publiques suivant les directives N°06 et 09 /2009/CM/UEMOA portant respectivement sur les lois de finances et le plan comptable de l’Etat au sein de l’UEMOA. Déjà les acteurs impliqués ne posentils pas un problème de coordination, donc de contrôle interne public ? L’exécution de certaines activités de la SNCI par le PAGAM/GF II, sous l’autorité de la CARFIP et du Commissariat au Développement Institutionnel (CDI), n’implique-t-elle pas la nécessité d’une réflexion autour des acteurs conduisant les reformes de contrôle interne dans un souci de rationalisation ou d’efficacité ? En effet, l’action gouvernementale étant conduite par la Primature, le CDI ou encore le « Commissariat aux reformes publiques » liés à elle et gérant en son sein toutes les réformes, réduira les chaînes de coordination souvent très coûteuses et permettra une optimisation de la gestion des ressources publiques. Ainsi, le CDI verra un renforcement de ses attributions qui vont au-delà de l’aspect institutionnel. Aussi, l’architecture actuelle de contrôle des finances publiques mérite d’être repensée pour rendre les structures plus indépendantes et plus optimales avant l’introduction d’une nouvelle activité, c’est à dire l’audit interne. Ces structures, déjà en place, souffrent du vieillissement des effectifs, mais aussi de la persistance de la connotation de « garage » malgré des programmes denses de formation. En effet, elles sont parfois le recasement d’anciens hauts cadres auxquels il faut trouver un point de chute. L’accès aux structures de contrôle doit se faire par voie de concours. Ainsi, les Lettre trimestrielle « Auditeur Francophone » n°11 –P 16 sortants de la nouvelle Ecole nationale d’administration (ENA) constituent un vivier pour les structures de contrôle en raison de la qualité du recrutement et de celle de la formation dispensée. Au lieu d’une concurrence entre les structures de contrôle des finances publiques, avoir des démembrements du contrôle général des services publics dans tous les ministères en lieu et place des différentes inspections a pour avantage, d’une part, la facilitation de la coordination et, d’autre part, le renforcement de l’indépendance des différentes structures. La nouvelle reforme de l’Inspection générale des finances soulève un risque de conflit avec le CGSP. Plusieurs études ont été menées sur le contrôle des finances publiques, surtout sur l’aspect a posteriori mais dont les résultats demeurent sans suite. Des débats doivent être entamés entre les professionnels pour renforcer et moderniser un système de contrôle des finances publiques dans les deux prochaines décennies dans le seul intérêt de la République. Ce débat se justifie d’autant plus que la SNCI prévoit l’insertion de l’audit interne dans l’architecture de contrôle des finances publiques. Cependant, ces nouvelles d’audit interne pourront- elles respecter les exigences normatives, en d’autres termes, le cadre pour la pratique professionnelle de l’audit interne (définition de l’audit interne, normes professionnelles, code de déontologie et les modalités pratiques d’application) pour créer de la valeur ajoutée ? Il demeure important d’adapter l’administration par rapport à ce cadre. Des pistes sont à explorer comme la professionnalisation de la Cellule d’appui aux structures de contrôle de l’administration (CASCA) qui, au lieu d’être une cellule de compilation des rapports de contrôles et d’inspection pour le compte du Président de la République, se verrait attribuer l’exaltante mission de revue de qualité des structures de contrôle de l’Etat. Car analyser un rapport de contrôle passe par la revue des dossiers de travail qui exige un minimum de maitrise des techniques et méthodes d’audit. La création de la Cour des comptes, une exigence communautaire, doit également rentrer dans le cadre de la SNCI dans un souci de respect des textes. Cela est d’autant plus impor- tant qu’aucun compte public n’ait fait l’objet de jugement de l’indépendance à nos jours. Ce qui soulève également un problème de contrôle interne et de dotation de ladite Cour en capacités adéquates d’auditeurs qualifiés Enfin, une stratégie nationale du contrôle interne omettant les référentiels métiers n’est elle pas tronquée ? En effet, tel que précisé dans le document projet, la SNCI s’intéresse surtout à l’aspect financier au détriment des systèmes de contrôle métiers ou non financiers, notamment de la Santé et de l’Armée. Une stratégie nationale devra faire une place à toutes les activités de la gestion publique de l’administration centrale aux structures concentrées. Aussi, la mise en place d’un bon système de contrôle a comme socle l’existence de référentiels connus et partagés entre les différentes parties prenantes. Les référentiels COSO (Committee of Sponsoring of Organization of The Treadway Commission) s’articulant autour de l’environnement de contrôle, de l’évaluation des risques, des activités de contrôle, de l’information et la communication et le pilotage, édicte « comment faire pour maîitriser aux mieux ses activités ? ». Dans le contexte malien, l’environnement de contrôle est fortement affecté par le politique, se traduisant par la promotion des non professionnels en audit, ce qui constitue une atteinte grave aux normes des Institutions supérieures de contrôle, voire à l’éthique. La mise en œuvre d’une stratégie nationale du contrôle interne marque l’amorce d’une révolution culturelle en matière de contrôle avec l’adhésion de toutes les parties prenantes. Elle ne pourrait atteindre les résultats escomptés sans son appropriation par le politique, voire la société civile pour une exigence de redevabilité ou d’imputatibilité en matière de gestion des finances publiques. Elle doit également s’inscrire dans une dynamique futuriste en se projetant déjà sur les systèmes de contrôle interne métier, levier essentiel d’un progrès d’ensemble dans tous les secteurs. Lettre trimestrielle « Auditeur Francophone » n°11 –P 17 L’apport de l’audit interne à la mission de l’auditeur externe. Djamel MELHENAS Expert Comptable DPLE Commissaire aux Comptes Certified Internal Controls Auditor Certified Fraud Examiner Dans le présent témoignage, nous allons aborder, en notre qualité d’expert comptable et de commissaire aux comptes, l’apport de l’audit interne à la mission d’audit financier et comptable. Nous tenons, tout d’abord, à rappeler que dans le cadre de la mission d’audit comptable et financier contractuel ou au titre d’un mandat de commissariat aux comptes portant sur la certification des comptes sociaux, l’auditeur externe (expert comptable / commissaire aux comptes) est amené à exprimer une opinion motivée sur la qualité de l’information financière. En effet, l’aboutissement des travaux de l’auditeur externe est l’expression d’une opinion motivée appuyée par des éléments probants. Un processus méthodologique normatif et intelligent est suivi par l’auditeur externe, selon un planning d’intervention, afin de réunir les justificatives et les éléments probants quant à son rapport final. L’existence d’une fonction d’audit interne dans l’organisation auditée, peut être d’une utilité remarquable dans le cadre de la planification des travaux d’audit. Toutefois, la norme d’audit internationale numéro 610 publiée par l’IFAC sous le titre « Utilisation des travaux des auditeurs internes » exige la mise en œuvre de diligences permettant d’apprécier la possibilité de prendre en considération des travaux des auditeurs internes. Bien que les objectifs de l’auditeur externe et de l’auditeur interne soient souvent différents, les moyens mis en œuvre sont, quant à eux, similaires. Concernant les diligences à suivre par le commissaire aux comptes, ce sont celles édictées par la norme 610 : • Le commissaire aux comptes a à déterminer de l’opportunité et de l’étendue de l’utilisation des travaux des auditeurs internes ; • Utilisation de travaux spécifiques effectués par l’auditeur interne. Ainsi, pour le premier point, l’auditeur externe va évaluer l’adéquation des travaux d’audit interne en examinant les points suivants : • l’objectivité de la fonction d’audit interne Indépendance et objectivité) ; • la compétence technique des auditeurs internes (compétence et conscience professionnelle) ; • s’il est probable que les travaux des auditeurs internes sont menés dans un esprit de conscience professionnelle (compétence et conscience professionnelle) ; • s’il est probable qu’il existe une communication effective entre les auditeurs internes et l’auditeur externe. L’auditeur externe examine également l’incidence des travaux des auditeurs internes en passant en revue : • la nature et l’étendue des travaux spécifiques réalisés, ou à réaliser, par les auditeurs internes ; • les risques évalués d’anomalies signi- ficatives au niveau des assertions pour des flux particuliers de transactions, des soldes de comptes particuliers, et des informations particulières à fournir dans les états financiers recueillis par les auditeurs internes à l’appui des assertions concernées. Les diligences à mettre par le commissaire aux comptes pour le second point sont comme suit : • les travaux ont été menés par des auditeurs internes possédant une formation technique et un profil adéquats ; • les travaux ont été correctement supervisés, revus et documentés ; • des éléments probants adéquats ont été recueillis pour permettre aux auditeurs internes de tirer des conclusions raisonnables ; • les conclusions tirées sont appropriées en la circonstance et les rapports établis par les auditeurs internes sont cohérents avec les résultats des travaux effectués ; • toutes les exceptions ou points inhabituels relevés par les travaux des auditeurs internes ont été correctement traités. Sur le plan pratique, l’auditeur externe, examine, les points suivants : • La fonction de l’audit interne : sa position hiérarchique, ses relations avec les autres structures et notamment le comité d’audit et le management ; • La qualification des auditeurs internes sur le plan de la formation, ainsi, des auditeurs internes possédant des qualifications et des certifications professionnelles telles que le CIA, DPAI, CFE, Master en audit interne et une expérience appropriée et adéquate dans le secteur sont un gage de crédibilité et de qualité ; • L’existence des procédures d’audit interne applicables et suivies ; • Documentation adéquate travaux et supervision. des Lettre trimestrielle « Auditeur Francophone » n°11 –P 18 • Certification de la fonction d’audit interne par rapport à son respect des normes d’audit internes professionnelles. Après l’évaluation des points cités cidessus, l’auditeur externe déterminera l’adéquation des travaux des auditeurs interne pour en tenir compte dans l’ajustement de son planning d’intervention. Les bénéfices ainsi apportés par une fonction d’audit interne performante pour l’auditeur externe sont : • Un degré d’assurance élevé quant à la sécurisation de l’information financière et du système de contrôle interne ; • Délai d’intervention plus court dans la réalisation des audits externes ; • Possibilité de réduction de la nature et de l’étendue des travaux d’audit et par conséquent des honoraires d’audit ; • Reconnaissance du professionnalisme des auditeurs internes par des professionnels externes; Ce que nous avons pu constater, au cours de nos interventions auprès des entreprises dotées d’une fonction d’audit interne, est qu’une collaboration étroite entre l’auditeur externe et l’auditeur interne est souvent une relation de type gagnant-gagnant, par l’apport de chacun à l’autre dans la réalisation des ses objectifs. Enfin, c’est l’information financière qui gagne en crédit et par conséquent, rassure les utilisateurs quant à son emploi. Abréviations : CIA : Certified Internal Auditor. DPAI : Diplôme Professionnel de l’Audit Interne. CICA : Certified Internal Controls Auditor LA MANIPULATION DES BESOINS DANS LES OPERATIONS D’ACHAT Noël Pons, consultant,CIA Yoanna Pons, auditeur informatique groupe TUILLET En général, tout marché qu’il soit public ou privé est initié sur la base d’un besoin dont la réalisation contribue à la bonne marche de l’entité publique ou privée qui l’exprime. Nous avons analysé dans les articles précédents (articles parus dans les lettres trimestrielles n° 8, 9 et 10 de l’UFAI) les risques généraux affectant les marchés, ainsi que les montages les plus souvent utilisés afin d’éviter l’appel d’offres. Cet article décrit les procédés utilisés au moment de la définition des besoins, au tout début de la procédure d’achat. L’évaluation du besoin constitue le fait générateur de l’opération d’achat qui se matérialisera ultérieurement dans une procédure structurée applicable aussi bien aux marchés publics que privés. A ce moment crucial, le fraudeur ou le corrompu va tenter d’influencer la prise de décision dans le but d’initier l’opération conformément à ses intérêts. Que la décision soit utile ou pas importe peu, il convient seulement de la faire valider dans les conditions escomptées par les structures décisionnaires. Une fois cette décision forcée, l’opération suivra son cours sans blocage. Nous parcourons dans cet article, les divers procédés susceptibles d’être utilisés afin de générer un besoin acceptable par les décideurs. Nous ne traiterons pas, ici, des marchés publics créant « d’éléphants blancs » (ouvrages importants dont les coûts de fabrication et d’entretien deviennent impossibles à assurer et dont la corruption a pu constituer l’explication première). Leur création a simplement servi de machine à cash pour financer la vie politique et les vestiges ressemblent à un cimetière industriel : ponts installés au milieu de champs sans qu’aucune route n’y conduise, des ronds-points, des échangeurs, appelés aussi familièrement les « pots de vin » dont on a omis de construire les voies d’accès, les stades sans joueurs. Les exemples sont multiples et constituent l’exemple extrême de la manipulation d’un besoin. I- LES MANIPULATIONS SONT MULTIPLES : Le fraudeur ou le corrompu sait parfaitement adapter ces manipulations à ses objectifs, aux opportunités qui lui sont ouvertes et aux pratiques frauduleuses sectorielles. Elles sont volontaires ou « surfent » sur l’incompétence ou l’absence de contrôle. Par principe, les marchés publics ou privés et plus largement toutes les opérations d’achats, doivent être justifiés par l’existence d’un besoin contribuant à l’activité de l’entreprise et engagé dans l’intérêt direct et exclusif de la collectivité ou de la société. Or, ce sont les intérêts particuliers et personnels qui motivent la création de faux besoins. Ils sont destinés à : -Accroître l’avantage et les gains de certains fournisseurs au détriment de certains autres ; -Limiter ou éliminer la concurrence ; - Susciter des opportunités pour la création ultérieure d’ordres de modifications qui seront très rémunérateurs pour le fournisseur, car conclus hors des spécificités du contrat ; - Ecarter les fournisseurs agréés qualifiés ; - S’échapper d‘une relation de partenariat établie de longue date avec certains fournisseurs ; - Générer une pré- qualification inappropriée. La manipulation des besoins constitue souvent le support commode d’un montage de corruption ou de favoritisme qui sera développé à l’occasion de cette prestation ou de cet achat qui ne présente aucun intérêt ou un intérêt relatif pour la collectivité ou pour l’entreprise. En l’espèce, le montage Lettre trimestrielle « Auditeur Francophone » n°11 –P 19 permet au corrupteur de disposer, une fois le marché obtenu, des fonds nécessaires au paiement du corrompu et à son propre financement. Les modalités de partage et de transmission des sommes obtenues entre le corrupteur et le corrompu sont variées. Elles passent souvent par la création de sociétés écrans. Il est conseillé à cet égard, de se reporter à l’article paru au n°190 de la revue Audit et contrôles internes «Les sociétés écrans, paradigme éclatant des montages organisés ». II– LES TYPOLOGIES DES MANIPULATIONS DU BESOIN : Parmi les multiples possibilités de manipulation, les montages le plus souvent identifiés sont les suivants : - Transmission d’informations fausses, tronquées ou modifiées, ce qui est souvent le cas pour l’engagement de travaux importants (ex : construction d’une nouvelle école en se basant sur des statistiques tronquées ou falsifiées qui mettent en évidence une augmentation du nombre d’élèves, alors qu’en réalité la fréquentation baisse) ;. - Surestimation des avantages, ces derniers sont exagérés et les coûts ou les risques sous-estimés ; - Sous-estimation des risques en matière de sécurité ou d’hygiène, ce qui génère une valorisation inférieure à ce qu’elle sera finalement. L’évaluation minorée peut rendre le budget acceptable, alors qu’une juste évaluation aurait pu bloquer l’acceptation du projet ; - Omission d’effectuer une analyse des coûts sur le cycle de vie ; - Omission d’intégrer la possibilité de remplacement de pièces alors que la réparation est moins onéreuse ; - Omission d’effectuer des consultations sur les aspects commerciaux ; - Présentation du projet en l’absence de toute solution alternative ; - S’appuyer sur le fait que le projet nécessite une source unique ; - Falsification du niveau des stocks initiant, de ce fait, un réassortiment inutile ou des achats excessifs. Cela se produit souvent lorsqu’il existe des liens (conflit d’intérêt) entre le gestionnaire des stocks (ou du magasin) et/ou du décideur avec le fournisseur ; - Interprétation de manière délibérément altérée les exigences juridiques ou omission de consulter le service juridique qui aurait pu aisément identifier l’erreur ; - Ignorance ou camouflage délibéré de l’évaluation des coûts réels d’exploitation qui excéderont largement les estimations ; - Omission de faire réaliser une étude de l’offre interne dans le domaine des prestations, ou de s’assurer de la disponibilité des produits ou services en interne ; - Divulgation d’informations non autorisées permettant, ainsi, au fournisseur choisi, de proposer la meilleure offre. Cette faute n’est pas propre à la manipulation des besoins, mais à l’ensemble des passations de marchés. III- LES INDICATEURS DE PRESENCE DE CES MANIPULATIONS : Lorsqu’une manipulation des besoins a eu lieu, elle est identifiée par les contrôles à posteriori, souvent après que les travaux aient été engagés, ou une fois que le marché est terminé. Un faisceau d’indicateurs existe bien, mais il n’apparaît que tardivement. Les indicateurs généraux suivants seront le plus souvent identifiés : - Un dépassement du budget qui n’a pas généré de réactions de la part des services de contrôle ; - Le constat de la présence d’une dérive financière par rapport à l’estimation initiale lors de la réalisation et en particulier lorsqu’elle est due à une inflation des coûts provenant de fausses exigences ou à des spécifications discutables du fournisseur ou encore, lorsque la liste agréée des soumissionnaires n’a pas été utilisée ; - Une fréquence élevée des ordres de modifications qui, bien que ne constituant pas un indicateur exclusif de la manipulation des besoins, accompagnent le marché en permettant une inflation des coûts ; - L’intervention d’une structure extérieure liée à l’acheteur ou au fournisseur, qui valide de manière apparemment indépendante la manipulation. Cette structure de type bureau d’études peut aussi jouer sur la faible compétence des acheteurs dans certains domaines afin de vendre des produits peu utilisées et en tout cas disproportionnés ; - L’absence de prise en compte de solutions alternatives, l’utilisation de procédures d’urgence qui ne font pas appel à la concurrence ; - L’absence d’appel d’offres ouvert expliquées par l’urgence ou par les caractéristiques du fournisseur, caractéris- tiques par ailleurs discutables ; - L’absence d’étude des coûts induits qui a généré un dépassement des budgets prévus ; - Le constat de la faible qualité de la prestation qui se matérialise par un nombre élevé de rejets pour des raisons techniques ou par des réclamations des utilisateurs. : Ces éléments sont le plus souvent identifiés à la fin des opérations, une fois que le projet touche à sa fin, que la plupart des paiements ont été effectués, et que la carence devient apparente. D’autres indicateurs pointant l’existence de liens avec le fournisseur qui peuvent être dus à une carence de contrôle ou à une complicité, peuvent être identifiés. - L’existence de modifications injustifiées et récurrentes dans les marchés passés avec le fournisseur concerné, sans demande d’explications ; - Le constat de l’existence d’une mauvaise application délibérée des tarifs unitaires et journaliers qui n’a pas été relevée par les services de contrôle interne ; - L’acceptation d’une sous-performance par le service de contrôle, sans contrepartie ; - L’acceptation de la facturation de volumes unitaires majorés et de variations de prix gonflées ; - L’absence de réaction face à des retards de livraison ; - L’acceptation des modalités et des conditions proposées par le fournisseur sans effectuer de comparaisons ; - La présence de besoins prévisibles qui n’ont pas figuré dans le projet et qui ont été inclus dans les demandes de modification des travaux ; - Le même fournisseur remporte systématiquement les marchés ; - Un nombre élevé de propositions émanant d’une source unique est constaté. IV- MESURES PREVENTIVES : Les mesures préventives susceptibles de limiter ces montages peuvent être choisies parmi les mesures générales utilisées dans ce domaine. On gagne à distinguer les mesures de contrôle classique et les mesures applicables dans le domaine du contrôle des paiements. Lettre trimestrielle « Auditeur Francophone » n°11 –P 20 En termes de contrôles généraux : - Analyser la nature de la séparation des tâches entre l’évaluation des besoins et l’engagement ; - Déterminer et mesurer, en termes qualitatifs et quantitatifs (rôle de premier plan/de deuxième plan), l’importance de chaque activité pour l’entreprise ; - Repérer les activités actuelles et, les besoins futurs afin d’étayer les objectifs et chacun des projets ; - S’assurer que des fonctions spécialisées participent à l’élaboration de l’argumentation et des stratégies, avant que les projets soient validés ; - Encourager l’amélioration des compétences techniques des fournisseurs - S’assurer que les besoins concernés ne peuvent pas être satisfaits en interne pour un coût moindre ; - Procéder au benchmarking des coûts et installer une base de données « Coûts» ; - Exiger un examen (indépendant) des spécifications par des fonctions appropriées, afin de garantir la cohérence avec les besoins du secteur ; - Exiger la mise en place d’une validation indépendante des ordres lors de toute modification majeure de l’objet du contrat ; - Exiger un examen indépendant des modalités contractuelles ; - S’assurer qu’il n’existe pas d’écart par rapport aux contrats standards, via l’omission : • des droits d’audit ; • de pratiques du secteur/ de la déontologie ; • des exigences du responsable hygiène-sécurité ; • des exigences juridiques (indemnités/ assurances/ garanties). -Pour les dossiers complexes, exiger l’intervention d’un juriste dès le début de l’opération En termes de contrôles financiers : - Effectuer des contrôles effectifs de l’échéancier ; - S’assurer que les prévisions des flux de trésorerie soient cohérents par rapport aux programmes d’exécution des travaux ; - S’assurer qu’il n’existe pas de stipulations comportant des modalités de paiement défavorables telles que : • L’existence de paiements anticipés sans escompte ; • L’omission de ristourne pour gros volume ; • L’existence de paiements avant fourniture des produits ou de la prestation. - S’assurer qu’il n’existe pas de stipulations comportant des modalités de contrôle défavorables : • L’absence de pénalités en cas de retard de livraison ; • Le lieu de livraison non précisé ; • Le coût de l’assurance et du transport non précisé ; • L’échéancier des paiements échelonnés est inapproprié. En termes de contractualisation : • E xiger la mise en place d’un plan d’assurance qualité ou un suivi de la qualité, si cela est possible. L’assurance « qualité » est devenue un élément essentiel dans la réalisation des contrats. Les « PAQ » contiennent des dispositions spécifiques identifiant les points-étapes de l’exécution du contrat, l’avancement de leur réalisation ainsi que la validation de chacune des étapes. Chaque grande étape du contrat est ainsi soumise à validation. • Exiger la mise en place de « comités projet » si cela est possible. Des « comités projet » permettent d’établir un suivi du projet tout au long de contrat. Le suivi du projet est de plus en plus accompagné de graphiques ou de schémas établissant l’avancée des travaux à partir de certains indicateurs. La visualisation de l’avancée en est simplifiée et marquante. Cependant, le choix des indicateurs doit être particulièrement réfléchi et pertinent, car il est possible, en fonction de l’indicateur choisi, de faire apparaitre une situation non inquiétante, ne correspondant pas à la réalité. Ce moyen peut donc être utilisé pour valider des étapes alors même que l’état réel de ces dernières ne correspond pas du tout aux données transmises. • L’existence de paiements anticipés échelonnés ; Lettre trimestrielle « Auditeur Francophone » n°11 –P 21 Prévenir la fraude bancaire sans y laisser sa chemise Joël Winteregg CEO-CTO NetGuardians SA Ou comment investir dans la prévention tout en économisant ? Aujourd’hui, des solutions logicielles permettent de réduire son exposition face aux risques de fraude tout en optimisant le coût de leur transfert au marché de l’assurance. Il y a 20 ans, la fraude dans les institutions financières était relativement simple à identifier : l’environnement était bien circonscrit, les flux moindres, et les opérations complexes étaient compréhensibles par tous. Ces dernières années, le changement radical de l’environnement, notamment lié à la mondialisation, a généré certaines faiblesses. Par exemple, les banques se sont mises à exercer d’autres métiers – elles sont toutes entrées dans l’ère du numérique. Cette évolution est accompagnée d’une augmentation des échanges ainsi que d’un accroissement des règles de conformité. La complexité des opérations a rendu certains contrôles pratiquement impossibles, alors que d’autres ont été remis au second plan. De nos jours, les fraudes sont presque devenues des pertes collatérales acceptables. Différentes méthodes de gestion et de modélisation des risques offrent un cadre permettant d’identifier, formaliser et traiter les risques d’une institution. En définitive, les principaux risques identifiés, notamment les risques de fraude, seront traités à l’aide d’un ensemble de mesures : • Réduction du risque ; • Transfert du risque (assurance) ; • Rétention du risque (autofinancement) ; Il est ainsi commun de réduire certains risques à l’aide de processus ou solutions informatiques, tout en transférant (assurant) le risque résiduel encouru. Cette approche débouche sur la question de l’optimisation des investissements : réduction du risque VS transfert du risque. Soit, comment la mise en œuvre de mesures de réduction des risques influe-t-elle sur mes primes d’assurance. En d’autres mots, est-ce que l’investissement relatif à une solution de réduction de mon exposition aux risques de fraude me permettra de diminuer mes primes d’assurances ? Plusieurs avantages découlent de ce type d’optimisation : 1. Prévenir plutôt que guérir. Mise en œuvre de solutions en amont puisque, hormis les pertes financières directes, le risque d’image encouru par une fraude est généralement dévastateur ; 2. Economies substantielles lorsque la réduction des primes d’assurance permet un financement partiel de la solution de réduction. C’est par exemple l’approche qu’ Unirisc Group (spécialiste en gestion des risques ainsi qu’en conseils en assurance) et NetGuardians (éditeur reconnu pour ses solutions de maîtrise de risques opérationnels bancaires) proposent aujourd’hui. Comprendre et réduire le risque de fraude : Comme dans bon nombre de situations, c’est l’humain le maillon faible. Dans un monde bancaire ultra informatisé, ses interactions se situent à deux niveaux : • Métier (front-office, back-office, etc.) • Technique (administrateur système, administrateur de bases de données, consultant, etc.). • Technique (administrateur système, administrateur de bases de données, consultant, etc.). La fraude réalisée par des utilisateurs métier a généralement recours à d’habiles manipulations financières nécessitant la falsification de dossiers, de fausses demandes, l’ouverture de comptes fictifs, etc. Celles réalisées par des informaticiens, nécessitent généralement des accès à des infrastructures sensibles comme les applications « core banking », les systèmes de gestion des droits d’accès, etc. Aujourd’hui, la maîtrise de ces risques s’articule principalement autour de trois lignes de défenses : • Sécurité opérationnelle : Prévention ; • Contrôle interne : Détection ; • Audit : Contrôle de l’efficacité et du bon alignement métier des points précédents. Prévention absolue, signifie rêter tous les systèmes : ar- La seconde ligne de défense (contrôle interne) vise alors à rétablir l’équilibre en permettant une utilisation efficace (niveau de sécurité satisfaisant) tout en contrôlant les failles potentiellement ouvertes ainsi que les processus à risque. La dernière ligne de défense relative au processus d’audit servira, ensuite, à analyser l’adéquation des différentes mesures (prévention et détection) en regard du métier et de l’évolution de l’entreprise. Lettre trimestrielle « Auditeur Francophone » n°11 –P 22 Couverture du contrôle interne : Le décèlement précoce des comportements menant à une fraude métier est généralement du ressort du contrôle interne. Cependant, cette tâche est quasiment impossible pour les fraudes techniques (réalisées par des informaticiens) du fait de leurs matérialisations situées au-dessous du niveau du contrôle interne. Echos des Instituts et Associations IIA-Belgique : 1. Rappel de la désignation d’un nouveau « Board » à l’IIA Belgium, suite à l’Assemblée Générale annuelle du 26/04/2012 Innovationsde NetGuardians : La solution logicielle NG|Screener associe contrôles métiers et contrôles techniques de manière continue et automatique. Ces actions croisées ont pour effet d’étendre la couverture du contrôle interne. Par exemple : • la détection de violations de règles métier telles qu’une validation des quatre yeux effectuée par un utilisateur en vacances ; • la détection de changements sensibles effectués par un administrateur de base de données ; • la détection d’un accès inhabituel à des données critiques (export CSV de clients). C’est notamment grâce à cette approche multi-niveaux (métier et technique) et à une analyse comportementale des activités IT et « core banking » que NetGuardians répond aux problématiques de réduction du risque de fraude. L’Assemblée Générale du 26/04/2012 a élu, pour la période 2012-2014, un nouveau Board, composé de 8 membres. Le Président (3ème à partir de la gauche, en veste brune) est JeanMichel Cassiers, Directeur de l’Audit Interne au Service Général de la Modernisation et de la Stratégie, Ministère de la Fédération Wallonie-Bruxelles (Services Publics). Vous pouvez le joindre sur son courriel : [email protected] ou au téléphone : +32 (0)2 413.34.52 2. Désignation d’un nouveau CEO à IIA Belgique Pascal Stroobant a été nommé CEO de l’IIA Belgique le 18/06/2012. Il connait depuis longtemps notre Institut, puisqu’il a été membre de 2004 à 2012, puis membre du Board de 2006 à 2008. Si vous souhaitez le contacter, vous pouvez lui envoyer un courriel à pascal.s@iiabel ou l’appeler au siège de l’IIA Belgique au numéro +32 2 219 82 82. Le Board est convaincu que son expérience tant comme senior manager au sein d’importantes compagnies qu’au sein de l’IIA Belgique aidera notre Institut à se développer en tant qu’organisation professionnelle. 3. L’Audit Software Watch Day du 21/11/2012 Le 21 novembre dernier, IIA Belgique a organisé en collaboration avec l'ISACA son désormais traditionnel Audit Software Watchday. Cette manifestation a pour but de permettre à des sociétés de logiciels pour l'audit interne de montrer leurs produits aux auditeurs internes et IT à la recherche de solutions informatiques pour la réalisation de leurs audits. Huit sociétés étaient présentes cette année. Elles ont chacune donné 5 sessions de présentation sur la journée, auxquelles ont assisté quelques 90 auditeurs internes et IT. Pendant les différentes pauses, les auditeurs ont également pu visiter les stands de ces 8 Lettre trimestrielle « Auditeur Francophone » n°11 –P 23 sociétés, que ce soit pour découvrir les solutions pour lesquelles ils n'avaient pas pu assister aux sessions de présentation, ou pour approfondir leurs contacts. La journée a également été enrichie par deux orateurs qui sont venus parler de data mining et de process mining. Une journée bien remplie et très profitable au dire des participants autant que des entreprises présentes. 4. Workshop du 11/09/2012 “Internal Audit – a “co-produced” service in the service sector” A la suite de la Conférence internationale des 24 et 25 juin 2012 de l’AACIA à Alger, le Président de l’IIA Belgique a souhaité faire partager la conférence précédemment donnée par Tommaso Capurso à Alger (« l’Audit interne : un service co-produit dans un monde de services »), avec les membres de l’IIA Belgique. 35 personnes (la capacité de la salle de réunion) y ont assisté. Le contenu, sous forme powerpoint, est inclus dans le CD Rom distribué à Alger. Un texte plus détaillé est mis à disposition des lecteurs dans la revue « IA Compass n°6 » de septembre 2012 (pp. 22-30), en accès libre (depuis le n°3), sur le site suivant de l’IIA Belgique : http://www.iiabel.be/Default.aspx? PageName=M3_IIABELMagazine&M enuGroupId=4&MenuItemId=188 T. Capurso, délégué de l’IIA Belgique auprès de l’UFAI. IIA-Burundi : Le 30 Juillet 2012, l’Institut des Auditeurs Internes du Burundi (IIA/Burundi) a organisé un colloque portant sur «l’audit interne et les enjeux de gouvernance au Burundi ». Cet événement, qui a réuni 82 participants venus de différentes organisations, s’est tenu dans les enceintes du ROCA Golf Hotel de Bujumbura. Le colloque a commencé avec un mot d’accueil du Vice Président de l’IIA Burundi, M. Ferdinand Ndayizigiye, qui a pris la parole pour souhaiter la bienvenue aux participants. Il a aussi remercié Monsieur Phil Tarling, Chairman de IIA Global de sa visite. Il a ensuite parlé de l’historique et réalisations de IIA Burundi. Il a enfin remercié ceux qui ont financièrement et techniquement appuyé IIA Burundi pour que le colloque soit une réussite. Les travaux dudit colloque ont été solennellement ouverts et rehaussés par la présence du Ministre Burundais des Finances et de la Planification du Développement Economique, Monsieur Tabou Abdallah MANIRAKIZA. Dans son mot liminaire, il a souhaité une chaleureuse bienvenue, en son nom et au nom du Gouvernement du Burundi, au Chairman de l’ « Institute of Internal Audit Global ». Avant de terminer son propos, le Ministre a rappelé que l’audit interne, dont l’IIA Burundi faisait la promotion, était non seulement un outil d’importance majeure au niveau microéconomique des entités économiques prises individuellement, mais aussi et surtout au niveau macroéconomique pris au niveau national. C’est dans cet esprit que le Gouvernement du Burundi a institué et redynamisé l’Inspection Générale de l’Etat. Cette dernière ayant pour rôle et objectif principal de veiller au respect, au renforcement et à la protection de la bonne gouvernance au Burundi. Il a enfin rassuré que l’action, tant de l’IIA Burundi que de l’IIA Global, s’inscrit dans cette politique de Bonne Gouvernance, et que le Burundi ne ménagerait aucun effort pour la soutenir et l’encourager. Les participants ont suivi avec intérêt la présentation de Phil Tarling : ‘Advancing Good Governance through Professional Internal Auditing’ qui a traité des différents changements dynamiques qui se sont opérés dans le domaine de l’audit interne au cours des 10 dernières années. A la fin de cette période qui coïncide avec la crise financière, il a été révélé que la gouvernance des entreprises avait des lacunes très sérieuses. La question était de savoir ce qu’il fallait faire pour remédier à la situation. 1. Améliorer l’attention qu’on apporte à la gestion et à la gouvernance ; 2. Mener un plan d’audit plus flexible et dynamique ; 3. Développer une vision stratégique pour un audit interne ; 4. Suivre, insister et donner un rapport sur la valeur de l’audit interne ; 5. Renforcer les relations et communications du comité d’audit ; 6. Voir la conformité des normes internationales de l’IIA comme obligatoire et non facultative ; 7. Acquérir et développer de meilleurs talents ; 8. Améliorer la formation pour les activités d’audit interne ; 9. Tirer parti de l’élargissement de l’adhésion des prestataires de services ; 10.Intensifier votre utilisation de la technologie et des outils d’audit. L’orateur a alors insisté sur une bonne communication, ainsi que les différents moyens de communication dont les réseaux sociaux. Le deuxième orateur, Ambassadeur Germain Herman NKESHIMANA, a d’abord présenté l’organisation de l’Inspection Générale de l’Etat (IGE) et a développé son thème portant sur l’importance du contrôle interne dans l’Administration Publique, le cadre juridique du contrôle interne de l’Administration Publique burundaise et l’état des lieux du contrôle interne dans l’Administration Publique burundaise; Le 3ème orateur, Dr Charles KABWIGIRI, a exposé sur « l’apport de l’audit interne dans la performance des organisations au Burundi ». Il estime que les relations entre l’audit interne et la performance des organisations apparaissent déjà à partir de la définition que l’IIA donne à l’audit interne. Son exposé s’est donc articulé autour : Il a insisté sur le rôle accru du Comité d’audit et du conseil d’administration : le nouvel ordre est entrain de créer de nouvelles attentes pour l’audit interne. Des principaux risques d’affaires ont été identifiés en 2011, tandis que quelques impératifs ont été repérés pour mieux opérer un changement : Lettre trimestrielle « Auditeur Francophone » n°11 –P 24 - Des relations entre l’audit interne, le système de contrôle interne et la performance ; - Des relations entre l’audit interne, la gouvernance d’entreprise et la performance ; - De l’état des lieux de l’audit interne dans les organisations burundaises. Partant de la définition de l’audit interne et des résultats de quelques recherches scientifiques antérieures, il a montré que, d’une part, un bon fonctionnement de l’audit interne assure l’efficacité du système de contrôle interne en identifiant les forces et les faiblesses de ce dernier et en proposant des recommandations dont la mise en application débouche sur l’amélioration de la performance. D’autre part, il a montré que la qualité de l’audit interne conditionne celle de la gouvernance d’entreprise et que celle-ci est l’un des déterminants de la performance des organisations. Il en a conclu que l’audit interne exerce une influence positive sur la performance en passant par l’amélioration du système de contrôle interne et de la gouvernance d’entreprise. S’agissant de l’état des lieux de l’audit interne dans les organisations burundaises, l’orateur a fait remarquer que l’audit interne est une fonction récente qui n’est pas encore suffisamment implantée dans différentes organisations et dont le rôle n’est pas encore correctement perçu par certains dirigeants qui le réduisent à une simple inspection. Au niveau des banques et établissements financiers, la situation est cependant meilleure, car l’audit interne est formellement exigé par la loi bancaire de 2003. Il en est de même le secteur des assurances, où l’audit interne est exigé par la loi sur les assurances (du 29/11/2002), même s’il n’y est pas encore très développé. Il a conclu en signalant que l’audit interne est l’un des facteurs clés de succès d’une organisation qui se veut performante. Les trois conférenciers se sont ensuite constitués en panel pour répondre aux différentes questions des participants, une séance qui a été très riche et animée. M. Phil Tarling saluant M. Ferdinand Ndayizigiye Vice- Président de l`IIA Burundi en présence de Benjamin Rufagari M. Ferdinand Ndayizigiye Vice-Président de l`IIA Burundi, le Ministre des Finances et de la Planification du Développement Economique et M. Phil Tarling Conférence de Presse aux médias locaux Le colloque a été clôturé par un point de presse accordé aux médias burundais. Lettre trimestrielle « Auditeur Francophone » n°11 –P 25 ASAI (Suisse) : IIA-Canada : Conférence nationale de IIA Canada Changement à la tête de l’Association 2012 : l’innovation au rendez-vous ! Suisse de l’Audit Interne. Du 23 au 26 septembre 2012, Montréal a été l’hôte de la Conférence nationale de l’Institut des auditeurs internes du Canada (IIA Canada) qui a rassemblé plus de 500 professionnels. Ayant pour thème « Curiosité + Créativité = Succès », cet événement a offert une programmation bilingue de plus de 50 ateliers permettant aux auditeurs de rester à l’affût Grâce à son expérience de plus de 16 des nouveautés dans leur domaine années passées dans l’audit interne et à d’expertise. ses connaissances et son réseau tant au sein de l’IIA que dans le monde francoPour la deuxième fois en cinq ans, la phone, Denis Neukomm aura comme Conférence se tenait dans la province mission de mettre en œuvre la nouvelle de Québec, après avoir connu un succès stratégie de l’institut élaborée au début dans la ville de Québec, en 2009. de 2013. Il s’agit à la fois de consolider la structure et les services de l’ASAI et de développer la présence et les intérêts de la profession auprès des diverses parties prenantes. L’actuel directeur de l’ASAI, Markus Mayer quitte sa fonction au 31 mars 2013 pour reprendre la direction de l’audit interne de l’entreprise Barry Callebaut. Pour le remplacer, le comité de l’ASAI a choisi Denis Neukomm, Président de l’UFAI (2008-2012). Quelques moments de la conférence : L’ASAI a été créée en 1980 et compte près de 2300 membres. Ce n’est toutefois qu’en 2008 qu’elle est devenue complètement autonome de la chambre fiduciaire suisse. La formation CIA a explosé ces dernières années et le nombre d’auditeurs certifiés CIA à fin 2012 était de 759. L’ASAI offre des formations en en trois langues : allemand, français et anglais. Association Suisse d’Audit Interne Les coprésidents d’IIA 2012 étaient Messieurs Roger Martel et Alphonse Gallucio dernier avait été président d’une Conférence internationale au Canada en 1999 et a fait partie du Comité de conférence internationale de l’IIA pendant plusieurs années. Le site web de la Conférence est toujours en ligne si vous souhaitez consulter les ateliers et présentations offertes www.iia2012montreal.com Co-Présidents Roger Martel et Alphonse Galluccio lors du Gala Michael Ferguson, vérificateur général du Canada Parmi le groupe (droite à gauche) : 1. Phil Tarling (Président de l’IIA) 2. Denis Bergevin (Cowater International) 3. Mireille Harnois (nouvelle Présidente de l’UFAI) 4. Brigitte Samson (membre du Conseil de IIA Canada) 5. Sheila Smigarowski (nouvelle Présidente IIA Canada) 6. Valérie Dion (VP Section Québec). Lettre trimestrielle « Auditeur Francophone » n°11 –P 26 Premier Colloque Maghrébin des Instituts d’Audit Interne Où ? Casablanca (Maroc) Quand ? les 9 et 10 mai 2013 Conférence Internationale de l’IIA Où ? Orlando (Etats-Unis) Quand ? du 14 au 17 juillet 2013 ÉDITEUR UFAI Union Francophone de l’audit interne 98 bis, bld Haussmann 75008 Paris (France) WWW.UFAI.org ________________________________________ Directeur de la publication Mireille Harnois, Présidente de lUFAI ________________________________________ Responsable de la publication Nourdine Khatal _______________________________________ Maquette: Philip Mariscal [email protected] Newsletter électronique N° octobre 2012-avril2013 Diffusion gratuite pour les adhérents des associations membres de l’UFAI