"L`auditeur francophone" N°11x

Transcription

N°11/ octobre 2012-avril 2013
EDITORIAL
Je vous adresse mon dernier éditorial
de l’Auditeur Francophone. Après quatre années de Présidence de l’Union
Francophone de l’Audit Interne, dont
trois en tant que directeur de la publication, je tire ma révérence. J’ai bien un
petit pincement au cœur en quittant
ces tâches passionnantes, mais je pense
que la fierté de ce qui a été accompli et
la joie de voir l’Auditeur francophone
continuer son chemin prennent le dessus émotionnellement. La pérennité de
l’Auditeur Francophone est toujours assurée par le responsable de la rédaction,
Nourdine Khatal, qui sera soutenu par la
nouvelle Présidente de l’UFAI, Mireille
Harnois.
Malgré une publication un peu tardive,
cette édition de l’Auditeur Francophone
est riche en articles et nouvelles.
Nous nous rendons tout d’abord au
Mali, pays qui, s’il fait malheureusement la une des médias à cause de
la situation politique et militaire, est
déterminé à améliorer la gestion publique. Dramane Sidibé nous expose la
démarche d’amélioration du contrôle
interne public.
Dans la lutte contre la fraude, Joël
Winteregg nous présente la démarche
logicielle de la start-up qu’il a lancée.
Cette démarche qui accompagne les
différentes fonctions intégre le concept actuel des trois lignes de défense.
leurs observations au sujet des manipulations des besoins dans les opérations
d’achat. On s’est tous demandé une fois
ou l’autre, comment se fait-il que telle
construction a pu être construite alors
que personne ou presque ne l’utilise.
Vous en saurez plus en lisant cet article.
Je vous souhaite une excellente lecture.
Bien à vous
Denis Neukomm, Président de l’UFAI
(2008-2012)
Audit interne : assurance ou consulting ?
La définition de l’audit interne inclut les
deux activités. La mise en pratique, par
contre, peut poser quelques difficultés.
Philipp Wilhelm et Stéphane Gartenmann de Suisse nous proposent de faire
le tour actuel de la question.
Le point de vue sur l’apport de l’auditeur
interne à la mission de l’auditeur externe. Voilà l’article que nous propose
Djamel Melhanes et qui doit certainement intéresser nombre d’entre nous.
Quel est le point commun entre Fukushima et Tommaso Capurso, ancien
Vice-Président de l’UFAI pour l’Europe ?
Un terme encore peu connu : les cyndiniques. T. Capurso nous ouvre la porte
à la « science des dangers » et présente
les apports potentiels pour les auditeurs
internes intéressés à la gestion des risques.
Je suis heureux de transmettre le témoin à Mireille Harnois et lui souhaite au
moins autant de bonheur que j’en ai eu
avec l’UFAI et l’Auditeur Francophone.
Toujours dans le domaine de la fraude,
Noël et Yoanna Pons nous font part de
Lettre trimestrielle « Auditeur Francophone » n°11 –P
1
N°11/ octobre 2012-avril 2013
SOMMAIRE
3
Conseil d’entreprise par l’audit
interne.
9
Nomination de M. Guy Lavallée au bureau
Directeur de l’UFAI.
10
Les cindyniques ou «sciences du danger», au service des auditeurs internes et
risk managers.
15
La Stratégie nationale du contrôle
interne (SNCI), vers la certification des
comptes publics du Mali.
18
L’apport de l’audit interne à la mission
de l’auditeur externe.
19
La manipulation des besoins dans les
opérations d’achat.
22
Prévenir la fraude bancaire sans y laisser sa chemise.
23
Echos des Instituts et Associations.
2
CONSEIL D’ENTREPRISE PAR
L’AUDIT INTERNE
Éléments et spécialisation des prestations
de conseil de l’audit interne.
Philipp A.F. Wilhelm
Stéphane Gartenman
Par définition, l’audit interne (AI) délivre des prestations d’audit et
de conseil. Le conseil par l’AI peut suivre différentes approches et
complète les prestations de conseil d’autres prestataires de services.
La spécialisation d’un AI divisé en auditeurs et en conseillers apporte de
la valeur ajoutée à l’entreprise.
1. INTRODUCTION :
La tâche principale1 de l’audit interne (AI) est de délivrer indépendamment des prestations d’audit
et des prestations de conseil. Le
but de ces prestations est d’aider
l’entreprise à atteindre ses objectifs. Pour cette raison, l’AI analyse
systématiquement et dans un but
bien précis les processus de gestion et de surveillance, surtout le
système de contrôle interne et la
gestion du risque. Se basant sur
ses analyses, l’AI élabore des options d’action afin de protéger l’entreprise des risques inaperçus et
d’exploiter ses chances ouvertes.
Cette définition est valide pour
l’audit ainsi que pour le conseil.
À première vue, la contribution
de l’AI au succès de l’entreprise
semble se fonder, principalement, sur ses prestations d’audit.
À ces prestations sont dédié la
plus grande partie du discours
dans les associations professionnelles, dans les publications
et dans les entreprises. Ceci est
aussi dû au fait qu’un audit porte
sur trois parties (mandant, auditeur, audité) tandis qu’un conseil
implique seulement deux parties
(conseiller, conseillé). Malgré une
thématisation limitée, le conseil
par l’AI a un grand potentiel qui
peut être utilisé grâce à sa valeur
ajoutée directe et ses impacts
positifs indirects aux prestations
d’audit.
2. PRESTATIONS DE CONSEIL PAR
L’AI :
Les prestations de conseil2 de l’AI
ciblent les processus de gestion
et de surveillance, surtout le système de contrôle interne et la gestion du risque. Pour cette raison,
le conseil par l’AI est un conseil
de management. Étant une prestation de support, il se démarque
du management qui exerce d’une
façon autonome la gestion de l’entreprise.
Il y a un éventail d’approches
de prestations de conseil3 qui
se différencient par leur impact
sur l’entreprise (voir tableau 1).
2.1. APPROCHES DE CONSEIL
D’ordinaire, les prestations de
conseil par l’AI sont des expertises. Dans une expertise,
les conseillers utilisent leurs
connaissances spécialisées pour
déterminer et documenter l’état
et les potentiels de l’entreprise.
Les mandants attendent des
conseillers, non seulement une
technicité, mais aussi leur objectivité et impartialité. Le contact
entre les conseillers et l’entreprise sert uniquement à obtenir
des informations. Ceci différencie les expertises des autres approches de conseil et limite son
impact direct. Une expertise se
termine avec un rapport final.
Une expertise standard apprécie
la concordance d’un fait avec un
standard, par exemple avec les
normes ISO 27001, avec des principes de révision ou avec des recommandations que l’AI a donné
dans les audits antérieurs. Dans
une appréciation, le conseiller
donne son opinion à propos d’une
problématique. Souvent, cela nécessite de choisir des priorités
(p.ex. entre la performance et les
coûts d’un contrôle). Dans une expertise conceptuelle, le conseiller
esquisse les éléments principaux
pour une solution porteuse d’avenir à une question de l’entreprise.
Le conseil d’entreprise systémique interprète une organisation comme un organisme vivant.
Au lieu de chercher des causes et
effets objectifs, les conseillers systémiques se concentrent sur les
vues subjectives des acteurs et
sur l’interaction flexible des éléments de l’organisation avec leur
environnement. Les conseillers
créent des hypothèses à l’aide
d’interviews, d’analyse de documents et d’observations. Ensuite,
avec comme point de départ
des connaissances professionnelles spécialisées, ils proposent
de nouveaux modes de travail
ou des questions spécifiques.
Les effets de ces dispositifs sont
mesurés et, si nécessaire, d’autres
dispositifs suivent. Pour avoir du
succès, les conseillers de l’AI nécessitent un savoir, des méthodes
3
sociologiques et la pratique du
conseil systémique. C’est pourquoi, le conseil d’entreprise systémique est normalement réservé aux conseillers de l’AI à plein
temps.
des compétences de coaching
qui surpassent les compétences
de coaching exigées dans les audits. Une approche de DO est utilisée uniquement dans un AI avec
des conseillers à plein temps.
Le développement de l’organisation (DO) sert à adapter l’entreprise d’une manière évolutionnaire aux changements dans son
environnement ou dans l’entreprise elle-même. Le conseiller
rend l’entreprise apte à planifier et
à gérer les processus d’adaptation
elle-même et à institutionnaliser
le changement comme processus permanent. Le conseiller de
DO peut agir comme conseiller
de processus en créant et en
optimisant les conditions générales pour le processus de DO.
En influençant aussi le contenu
des processus, il peut également
agir comme promoteur qui développe ou supporte activement
des solutions et des propositions
d’amélioration et qui diminue la
résistance. Si ces interventions
actives sont seulement ponctuelles, on appelle le conseiller de
DO «interventionniste».
Le DO est bien approprié aux
prestations objectives du conseil
de l’AI, car il est dirigé vers les
processus et laisse le contrôle et
la responsabilité aux personnes
concernées. Ceci est particulièrement valable pour les accompagnements de projets et le conseil
à bas seuil dans le cadre d’une
participation de l’AI dans des
comités. Les projets de DO touchent normalement de grands
changements organisationnels et
nécessitent, par conséquent, des
ressources suffisantes et un engagement à long terme. Ils exigent
Une approche d’ingénierie des
processus se dirige, pour la recherche de solutions, vers les
exigences de rendement et d’information des processus. Les
conseillers de l’AI n’assument pas
de responsabilité dans l’application des solutions et utilisent le
numérique pour découpler les
domaines spatiaux, temporels et
personnels des processus. Aux
interfaces des processus, des niveaux de rendement sont définis.
Dans cette approche de conseil,
l’AI recommande souvent de
nouvelles interconnexions innovatrices avec d’autres processus
internes et externes. L’ingénierie
des processus permet systématiquement des innovations de processus. Cependant, le conseil de
l’AI ne devrait pas s’arrêter à des
questions superficielles. Le choix
d’approche de conseil devrait
aussi tenir compte des causes
profondes comme les problématiques de pouvoir, les questions
de compétence ou des aspects
sociaux. Les missions de l’AI d’ingénierie de processus servent
principalement pour les organisations avec des processus bien
établis et de haute qualité. Sinon,
les missions risquent de devenir
des travaux fondamentaux de
processus qui dépassent leurs
limites de temps et perdent leur
focalisation sur les processus de
surveillance et de gestion.
Dans la gestion à durée détermi-
née, le conseiller ne donne pas
seulement une prestation conseil,
mais il assume également une responsabilité opérationnelle dans
l’entreprise. Par conséquent, le
conseiller perd son objectivité par
rapport à son domaine de responsabilité opérationnel. De plus, une
telle activité risque de créer l’impression d’une objectivité perdue
dans des domaines voisins et elle
entrave la perception de l’indépendance de l’AI dans toute l’entreprise. Pour ces raisons, la gestion
à durée déterminée devrait être
évitée comme approche de conseil
par l’AI. Si elle est choisie quand
même, il est nécessaire de respecter le délai d’attente annuel selon
les standards professionnels4 pour
un audit par les réviseurs internes
dans un domaine dans lequel ils
avaient une responsabilité opérationnelle.
L’AI peut exercer un effet de consultant sur les affaires à l’aide de la
formation5. Par exemple, l’AI peut
transmettre des connaissances de
la méthodique des audits, ainsi
que sur la manière d’écrire des rapports d’audit aux nouveaux employés des partenaires internes de
surveillance. Il peut aussi promouvoir le savoir des experts chevronnés en ce qui concerne les mesures
spécialisées dans la sécurité en matière de technologies de l’information.
2.2 DÉMARCATION ENTRE
CONSEIL D’ENTREPRISE ET
AUDIT :
L’AI sans conseillers spécialisés
limite normalement ses prestations de conseil aux expertises.
Il serait simplement inefficace
4
d’établir la compétence de conseil
et les méthodes pour utiliser
d’autres approches de conseil si
celles-ci n’étaient pas utilisées fréquemment. Par contre, l’approche
pour établir une expertise standard et une appréciation est tout
à fait comparable à l’approche
utilisée dans un audit (voir tableau 2). Même si l’approche est
comparable, une mission d’audit
est plus large : elle comporte également une évaluation du risque
étendue, une phase d’exploration
du champ d’audit, une phase de
prise de position pour les audités,
une marche à suivre définie pour
l’établissement du rapport et la
supervision de la mise en œuvre
des mesures qui résultent des
audits6. En outre, les expertises
de l’AI concernent des questions
bien précises et ne traitent pas
des sujets aussi précis que les audits.
Les expertises peuvent avoir certaines caractéristiques des audits
et inversement. Par exemple, les
évaluations apprécient l’efficacité
future d’objets comme des projets ou des mesures politiques.
Ils demandent7 une compétence
méthodologique élevée, ainsi que
beaucoup de ressources parce que
l’approche doit répondre aux exigences scientifiques et implique
normalement la récolte de données empiriques. Dans la pratique
de l’AI, les évaluations sont utilisées uniquement par les employés
de l’AI spécialisés dans les évaluations8.
Chaque audit possède des aspects de conseil qui sont bien visibles dans les recommandations
de l’audit. En plus, l’AI supporte
souvent les audités en cas de
questions pendant la phase de la
mise en œuvre des mesures d’audit prises par la direction de l’entreprise.
Malgré les aspects de conseil dans
les audits et malgré l’approche
dans quelques types conseils partiellement similaires aux audits,
les aspects de conseil des deux
prestations de l’AI peuvent être
différenciés. Les conseillés initient
comme mandants un conseil par
l’AI tandis que les audits et leurs
aspects de conseil sont déterminés
par autrui. En outre, la spécialisation plus grande de l’approche de
conseil (p.ex. dans le conseil d’entreprise systémique, le DO, l’ingénierie des processus ou les exper-
tises conceptuelles) et les matières
plus globales des conseils par l’AI
sont des démarcations aux aspects
de conseil dans l’audit qui restent
ponctuels et proches des constatations.
2.3. DÉMARCATION
PAR RAPPORT AUX AUTRES
PRESTATAIRES INTERNES DE
CONSEIL :
Dans une entreprise, il y a une offre
étendue de prestations avec un caractère de conseil, par exemple les
renseignements et les prises de
position. A côté de ces prestations
ajoutées aux prestations principales, se trouvent les prestations
de conseil systématiques, qui sont
offertes comme prestation principale par une unité d’organisation
avec des conseillers spécialisés.
Le tableau 3 montre des prestataires internes qui offrent typiquement des prestations de conseil
dans les processus de surveillance
et de la gestion et leur degré de
spécialisation pour le conseil.
5
Le conseil par l’AI se délimite du conseil comme prestation ajoutée par la
démarche systématique de son approche de conseil. Les conseillers à
prestation ajoutée, comme p.ex. dans
les ressources humaines ou dans le
service de communication, sont liés
étroitement à une fonction opérationnelle hautement spécialisée et ont,
par conséquent, des caractéristiques
uniques. Aussi, l’AI n’offre pas de consultations
Le conseil par l’AI se délimite du conseil comme prestation ajoutée par la
démarche systématique de son approche de conseil. Les conseillers à
prestation ajoutée, comme p.ex. dans
les ressources humaines ou dans le
service de communication, sont liés
étroitement à une fonction opérationnelle hautement spécialisée et ont,
par conséquent, des caractéristiques
uniques. Aussi, l’AI n’offre pas de consultations juridiques. Par contre, les
unités d’organisation juridique (p.ex.
le service du contentieux ou le secrétariat général) ne disposent pas comme l’AI des compétences spécifiques
dans les questions de gestion et dans
l’informatique. C’est pourquoi il n’y
a pas de chevauchements systématiques dans ces cas.
Une démarcation individuelle est nécessaire s’il existe un conseil interne dans
l’entreprise qui est délié de l’AI. Les rattachés aux organes de décision et exécution et le contrôle de gestion effectuent régulièrement des clarifications
avec des aspects de conseil pour l’appui
de la direction. Pourtant, ces activités
manquent souvent d’une orientation
systématique vers les recommandations, ce qui est un aspect clé pour les
prestations de conseil2. S’ils établissent
des appréciations systématiques, ces
appréciations sont liées étroitement au
domaine de leur supérieur hiérarchique.
L’AI, par contre, fournit des solutions de
conseil intégrées et objectives qui sont
ciblées sur l’atteinte des objectifs de
l’entreprise elle-même. Les prestations
de conseil d’ingénierie des processus
devraient être en accord avec la gestion
des processus. Grâce à la spécialisation
du conseil de l’AI aux aspects de gestion
et de surveillance des processus, il y a
peu d’intersection avec la gestion des
processus, qui sert principalement au
soutien de la mise en œuvre des règles
techniques de la gestion des processus.
Les employés dans la gestion des
projets et des innovations assument
souvent une responsabilité opérationnelle. Comme on trouve fréquemment
des enjeux concrets dans les questions de gestion et de surveillance, il
n’y a pas de concurrence, mais plutôt
une demande pour les prestations de
conseil de l’AI. À côté de leurs activités
de contrôle, la compliance, la compliance de l’informatique et la gestion
du risque, offrent des prestations de
conseil préventives dans le domaine
de la surveillance. Néanmoins, il n’y
a pas d’alternative aux prestations de
conseil par l’AI dès que le mandant
est intéressé par la compatibilité des
faits avec les exigences des audits de
l’AI ou dès qu’il demande des analyses
d’efficacité qui vont au-delà des notions formelles de contrôle. Les possibilités de l’AI surpassent celles des
autres prestataires sans spécialisation
sur le conseil parce que l’AI peut appliquer systématiquement un éventail
d’approches de prestations de conseil très élargi, par exemple le conseil
d’entreprise systémique, le DO ou
l’ingénierie des processus.
2.4.DÉMARCATION
PAR RAPPORT AUX PRESTATAIRES
EXTERNES DE CONSEIL :
Chaque prestation de conseil de l’AI
peut également être offerte par des
prestataires externes. Pourtant, les
compétences spéciales de l’AI dans
les questions de gestion et de surveillance dans le contexte spécifique de
l’entreprise permettent un travail de
conseil plus efficace.
Le conseil de l’AI est toutefois demandé quand le besoin de conseil est
imprévu et urgent, quand il doit être
délivré de manière flexible en dehors
des processus budgétaires fastidieux
ou alors dans la mesure où il implique
des sujets à caractère confidentiel.
Au contraire des prestataires externes
de conseil, l’AI est indépendant du
mandant en apparence et dans les
faits. Par conséquent, il ne court pas
le risque de produire des expertises
par complaisance. En outre, l’AI a
l’argument de vente d’être capable de
clarifier les exigences futures des audits de l’AI et peut offrir des conseils
6
proches des audits passés avec peu de
barrières d’entrée.
3. VALEUR AJOUTÉE PAR LE CONSEIL
D’UN AI :
Grâce à leur expérience dans diverses
entreprises, les conseillers externes
sont capables de transférer des solutions éprouvées. Leur avantage est cependant remis en cause dans la mesure
où ils doivent d’abord se familiariser
avec les pratiques de l’entreprise. Il
existe aussi l’éventualité qu’ils transfèrent les solutions de l’entreprise
aux concurrents. L’AI est également
en bonne position pour transférer
des solutions éprouvées dans toute
l’entreprise.
Comparé avec un AI qui contient
des prestations d’audit et de conseil
intégrées, les prestataires externes
de conseil ont l’avantage d’une
grande spécialisation. Ils travaillent
régulièrement dans des projets de
conseil similaires et peuvent élargir
leur approche théorique et leurs expériences pratiques. Un AI est seulement capable d’offrir ses prestations
de conseil avec une expérience
pratique étendue et avec un choix
important d’approches s’il permet
la spécialisation de quelques-uns
de ses employés aux prestations de
conseil.
La qualité des processus et du travail
de l’AI, la compétence de ses employés
et la mise en œuvre de ses recommandations (efficacité9) sont des facteurs
d’influence importants pour la capacité
d’un AI à créer une valeur ajoutée dans
l’entreprise. L’AI peut augmenter nettement sa valeur ajoutée grâce à ses prestations de conseil (voir tableau 4).
La compétence d’audit est nécessaire
pour pouvoir délivrer des prestations
de conseil. Cependant, il faut établir
une compétence spécifique de conseil au-delà des compétences d’audit.
Si l’AI ne veut pas seulement offrir des
expertises proches des audits, mais
également des approches de conseil plus vastes, les conseillers de l’AI
nécessitent une formation ciblée.
La compétence de ces méthodes doit
être soignée via une pratique de conseil adéquate, ce qui est possible si l’on
utilise des conseillers spécialisés à
plein temps.
Sans les compétence des employés de
l’AI, il n’est pas possible de réaliser de la
qualité et de la valeur ajoutée. La qualité des prestations de l’AI augmente si
tous ses processus d’audit et de conseil
sont définis et mis en œuvre. La qualité
doit être mesurée et gérée à travers des
variables de référence. Une spécialisation des prestations de conseil de l’AI
améliore également la qualité. Avec un
taux de conseil élevé dans leur travail,
les employés de l’AI peuvent encore
mieux assimiler les processus. Ceci leur
permet, alors, d’appliquer les processus
avec plus de cohérence et de les améliorer encore d’avantage à l’avenir. Grâce
à ses activités de conseil, l’AI a accès à
des informations actuelles qui lui permettent d’augmenter la qualité de ses
évaluations du risque. Cela améliore le
planning des audits et augmente par la
même occasion la qualité des audits.
Si l’AI emploie des conseillers à plein
temps, il lui est plus facile de prendre part
dans certains comités de l’entreprise. Le
rôle des conseillers dans les comités est
plus clair grâce à leur délimitation personnelle10 des auditeurs et c’est ainsi
que l’AI peut éviter des déterminations
précipitées et des conflits d’intérêts
lors d’audits futurs. Le conseil, dans une
phase antérieure de projet, permet une
persistance plus grande du travail de l’AI
parce que des trouvailles futures de l’AI
peuvent être évitées d’entrée. Grâce aux
7
prestations de conseil, la compétence
et la qualité de l’AI sont plus facilement
perçues, ce qui augmente la réputation de l’AI dans l’entreprise et aide à
démonter des préjugés et des barrières
mentales par rapport au travail de l’AI.
Le gain de compétence par un conseil
de l’AI spécialisé augmente la qualité
et cause des audits et conseils plus efficaces.
4. BILAN :
Les prestations de conseil font partie de la mission clé de l’AI. Il y a de
multiples approches de conseil, des
expertises sans influence directe à
l’organisation, le conseil d’entreprise
systémique, l’approche de développement de l’organisation, l’ingénierie
des processus et, exceptionnellement,
la gestion à durée déterminée. Les
prestations de conseil de l’AI se démarquent des prestations des autres
prestataires internes de conseil. Par
rapport aux prestataires externes, l’AI
a plusieurs avantages concurrentiels.
Une spécialisation de l’AI aux audits
et aux prestations de conseil peut
augmenter la compétence de ses employés et améliorer ses processus et
l’efficacité de ses résultats de travail.
De cette manière, la spécialisation de
l’AI renforce la confiance du Conseil
d’administration, de la Direction d’entreprise et des conseillés et audités envers l’AI et augmente sa valeur ajoutée.
Notes:
Voir la définition de l'Audit Interne selon les standards (IPPF)
de l'Institute of Internal Auditing.
1
Pour la définition de conseil
d'entreprise, voir Wilhelm, Philipp «Unternehmungsberatung aus der Sicht
des Wirtschaftswissenschafters», Portrait Schweizer Wirtschafts- und Unternehmensberatungen, 2001.
2
Voir Wilhelm, Philipp «Beratung ist
nicht einfach Beratung: Beratungsansätze zur Auswahl», Portrait Schweizer Wirtschafts- und Unternehmensberatungen, 2001.
3
Les standards professionnels demandent comme mesure préventive
contre la perte d'objectivité des auditeurs à cause de la gestion à durée déterminée que chaque réviseur interne
ne doit pas auditer un domaine pendant une année dans lequel il avait
une
responsabilité
opérationnelle
(IPPF1 1130.A1). Dans le cas du Directeur de l'AI, le domaine doit être audité
seulement par une partie externe à
l'AI (IPPF 1130.A2). Les prestations de
conseil d'entreprise et la gestion à durée déterminée sont permises dans
ces domaines sans délai d'attente
(IPPF 1130.C1), chaque limitation potentielle ou actuelle de l'objectivité du
conseiller doit être communiquée aux
clients du conseil avant la conclusion
du contrat de conseil (IPPF 1130.C2).
4
Voir http://www.seval.ch/fr/documents/SEVAL_Standards_2001_fr.pdf.
7
Par exemple, en Suisse le Contrôle fédéral des finances (CDF)
a spécialisé son centre de compétences numéro 5 aux audits
de rentabilité et les évaluations.
8
Dans le cas d'un équipement personnel performant et d'une grande efficacité (effectiveness) de l'AI, on peut
déduire une performance (efficiency)
raisonnable de l'AI. Pour les assurances
Suisses avec un métier principal et sans
activités à l'étranger, 2 employés de l'AI
sur 1'000 employés de l'entreprise sont
regardés comme référence performante. La taille de l'AI moyenne pour les assurances allemandes, autrichiennes et
suisses était en 2011 selon une enquête
du DIIR 4.3 employés dans l'AI par 1'000
employés de l'entreprise.
9
Un exemple ancien pour une telle
séparation se trouve chez Bruno, Francis A. «An Approach to Quality Internal Auditing», Internal Auditor, August
1994, page 62: il décrit comment la
séparation était introduite dans l'AI de
AT&T Universal Card Services pendant
l'introduction d'une stratégie de Total
Quality Management Strategie dans
l'AI.
10
La formation n'est pas une approche
de conseil dans un sens théorique
mais c'est une plateforme idéale pour
la prestation de conseil à bas seuil.
5
Dans la phase d'exploration,
l'évaluation grossière du risque du
planning annuel est suppléée par les
informations en détail du champs
d'audit. Cela sert à préciser la mission
et le programme de travail l'audit.
6
Auteur
Philipp A.F. Wilhelm, Dr.oec.HSG, CEMS MIM, CIA, CISA, CEH, CFE, QA,
Chef du groupe assurance de l’ASAI, Directeur de l’Audit Interne de la
Suva, Lucerne,
Stéphane Gartenmann, MSc. en sciences actuarielles UNIL, Auditeur
Interne, Suva, Lucerne.
8
Nomination de M. Guy Lavallée à
titre de Vice-président, Amérique
du Nord et Caraïbes au sein de
l'Union Francophone de l'Audit
Interne.
Monsieur Guy Lavallée, CPA, CA, occupe le poste de directeur de l'audit interne et des enquêtes du Curateur public du Québec depuis 2009. Il cumule près de vingt ans
d'expériences en audit externe et interne ainsi qu'en gestion
financière et administrative des organisations. Il a également
travaillé en cabinet ainsi qu'au Bureau du Vérificateur général
du Québec et au Contrôleur des finances du Québec.
En outre M. Lavallée s'implique au sein de la profession de l'audit
interne depuis 2006. Il occupe le poste de président de l'IAI
Québec depuis 2010 et est également membre du groupe de
travail Gouvernance et audit interne de l'Ordre des comptables
professionnels agréés du Québec.
Bienvenue à monsieur Lavallée au sein de notre grande
famille de l’UFAI.
9
Les cindyniques, ou « sciences du danger »,
au service des auditeurs internes et risk managers.
Tommaso Capurso
MIA, CIA, CCSA, EFARM, CRMA
Tommaso Capurso, Chef de la Division d’audit
“Opérations et Systèmes techniques” à la SNCB
Holding, le holding de la société nationale des
chemins de fer belges, a appliqué les cindyniques à la catastrophe de Fukushima.
Il nous explique l’intérêt de la méthodologie et
de l’exercice.
Pouvez-vous nous rappeler l’origine
des « cindyniques » ?
Tommaso Capurso:
Les « cindyniques », littéralement du
grec « kindunos » ( dangers ), représentent l’ensemble des sciences et des techniques qui étudient les risques naturels
et technologiques et leurs préventions.
Ce néologisme a été développé par
Georges-Yves Kervern, qui l’a présenté
lors du Colloque international sur les risques, organisé les 7 et 8 décembre 1987
à l’UNESCO. Le concept a ensuite été
publié dans un premier livre, « L’archipel
du danger », qu’il a coécrit avec Patrick
Rubise. Les cindyniques font partie du
courant de pensée « systémique ». Ce
courant considère l’organisation comme un système complexe, composé
d’éléments en interaction et interrelation permanente entre eux et avec
l’environnement. L’idée de «système »
se retrouve déjà chez les philosophes
grecs de l’antiquité qui voient l’univers
comme un tout dont les parties sont interdépendantes les unes des autres.
Le biologiste Ludwig Von Bertalanffy, a développé dès 1932 la théorie
générale des systèmes dans le but
d’identifier les règles qui « organisent
les relations et les interactions entre
les parties des organismes ».
Les cindyniques présentent plusieurs
spécificités, dont notamment le fait de
caractériser chaque acteur par cinq
attributs ou cinq axes, constituant
son « hyperespace du danger » (voir
encadré 1). L’organisation peut alors
être modélisée comme l’interaction
d’un « réseau » d’acteurs. In fine, il s’agit
d’identifier les incohérences (déficits,
dissonances), à l’aide d’une typologie
spécifique et d’un langage particulier,
incluant :
• les « déficits » : ambiguïtés et incohérences au sein d’un hyperespace du
danger
• les « dissonances » : différences
entre les hyperespaces des différents
réseaux
d’expérience de sinistres majeurs.
L’approche cindynique, en modélisant les interactions des réseaux
d’acteurs, permet de représenter
les différents maillons de la chaîne,
leurs faiblesses et ce qui conduit à
un accident. L’accident relève généralement d’une défaillance des interactions dynamiques dans tout
le système et non simplement d’un
événement pris à part. Trop souvent,
on pointe l’erreur humaine (fatigue,
Encadré 1: L’hyperespace du danger
Pourquoi avoir appliqué les cindyniques
à Fukushima ?
Tommaso Capurso:
Je me suis intéressé aux cindyniques
depuis plusieurs années, bien que le
concept puisse sembler assez « rébarbatif » au départ. L’AMRAE et le Carm
Institute m’ont donné l’opportunité, à
l’occasion de la Conférence « 20 ans »
de Deauville de février 2012, d’en illustrer les potentialités d’application pratique. « Fukushima » avait été retenu
comme cas d’étude pour tirer le retour
distraction, erreur de mémorisation
ou d’interprétation,…). Cependant, le
retour d’expérience montre que les
catastrophes sont de nature multicausale et constituent un « accident
de l’organisation », comme l’a très bien
résumé l’European Railway Agency
en 2010.
La Commission d’enquête de 2003
sur l’accident de la navette spatiale Columbia est arrivée à la même conclusion : les navettes Columbia et Challenger ont été perdues en raison de la
défaillance du système d’organisation
10
de la NASA et des défauts persistants
et systémiques.
La commission mandatée par le Parlement japonais pour faire la lumière
sur l’accident nucléaire à la centrale de
Fukushima précise dans son rapport
final du 4 juillet 2012, que « l’accident
est le résultat d’une collusion entre le
gouvernement, les agences de régulation et l’opérateur TEPCO, et d’un
manque de gouvernance de ces mêmes
instances ». Le rapport poursuit : « Les
causes fondamentales sont les systèmes
d’organisation et de régulation qui se
sont basés sur des logiques erronées
dans leurs décisions et leurs actions, et
non pas un problème de compétence
d’un individu en particulier ».
Quelle méthodologie avez-vous
développée pour l’application
très technique des cindyniques ?
Tommaso Capurso:
Il s’agit d’une démarche assez complexe
en sept étapes (Voir encadré 2).
Encadré 2
Etape
la modélisation du système spécifique à analyser. Un « système » étant
ouvert, où s’arrêter (dans l’espace,
dans le temps) dans la prise en
compte des acteurs ? Dans l’espace,
il s’agit de déterminer les limites des
réseaux d’acteurs à considérer, donc
d’effectuer l’inventaire des acteurs/
organisations essentiel(le)s tant au
niveau stratégique (macrostructure
organisationnelle,
acteurs
nationaux ou internationaux de la réglementation, acteurs du contrôle et de
l’agrément, acteurs relatifs à la conception, aux processus de décision, au
retour d’expérience,…) qu’au niveau
directement opérationnel.
Dans le temps, comme les licences
d’exploitation ont été accordées à TEPCO entre 1966 et 1972, la « fenêtre de
temps » à considérer dans l’analyse est
relativement large, soit pratiquement
un demi-siècle !
La troisième étape consiste à élaborer
Objectif
1
Définir la situation cindynique
2
Elaborer une description du système ou de l’organisation
3
Elaborer et étudier les hyperespaces associés aux réseaux
d’acteurs
4
Repérer les déficits systémiques cindynogènes, les déficits des
systèmes cindyniques et les dissonances
5
Etablir la matrice de synthèse et de corrélation acteurs/ dysfonctionnements cindyniques
6
Rédiger un résumé narratif
7
Déduire les actions de réduction des déficits et dissonances
En premier lieu, il faut décrire la situation, dans une approche qui peut être :
• soit prospective (a priori) : analyse de
risque (danger potentiel) ;
• soit rétrospective (a posteriori) : évaluation des constats (incident, presqueaccident, accident, catastrophe).
Dans le cas de l’application à Fukushima, c’est cette deuxième option qui
était pertinente.
Ensuite, deuxième étape, il y a lieu
d’élaborer une description du système
dans le temps et l’espace.
Il s’agit d’une étape déterminante :
et étudier les « hyperespaces ». Chaque
acteur est modélisé et représenté
dans son « hyperespace du danger ».
Les interactions (flux de communication, d’échanges d’information) entre
ces espaces (ou au sein d’un espace
d’un acteur donné) sont identifiées
et repérées (numérotées) sur base
des missions, rôles et responsabilités
conféré(e)s à chaque acteur (voir encadré 3). Ces interactions peuvent être
dessinées à l’aide d’un logiciel usuel
de modélisation de processus (« flowcharts »).
La quatrième étape vise à repérer les
« déficits » et les « dissonances ». Ceci
nécessite une familiarisation avec
le vocabulaire atypique des cindyniques. Une même interaction peut
parfois être caractérisée simultanément par différents attributs.
La typologie de G.-Y. Kervern sert
de base de questionnement (tel un
« menu ») et inventorie exhaustivement :
• 10 déficits systémiques cindynogènes
(DSC) (4 culturels, 2 organisationnels, 4
managériaux) ;
• 5 dissonances (D) ;
• 27 déficits des systèmes cindyniques
(Dsc).
Cette étape permet l’identification des
écarts de perception entre acteurs,
souvent sources de dysfonctionnements et de risques. Disposent-ils des
mêmes données statistiques et sontelles interprétées de la même façon ?
Les modèles de représentation sont-ils
cohérents ? Les finalités de ces acteurs
sont-elles alignées ? Les cadres normatifs et les règles sont-ils appliqués
avec la même rigueur par chacun ?
Les
« valeurs » ainsi que leur priorisation (par exemple « sécurité » versus
« productivité ») sont-elles partagées ?
Une fois la caractérisation opérée, la
cinquième étape a pour but d’établir
les matrices de corrélation et de synthèse acteurs/ dysfonctionnements cindyniques. Ces matrices consolident le
potentiel cindynique de l’organisation
et de ses principales parties prenantes.
Il s’agit de structurer l’inventaire établi
(voir l’exemple de l’encadré 4).
Une fois ces matrices établies, il peut
être utile de rapporter les résultats (à
la hiérarchie, à la Direction générale
ou à un Comité d’audit, un Comité des
risques,……). L’étape six consiste donc
à faire un résumé narratif notamment
pour éviter au lecteur d’avoir à décoder
le tableau à rallonges des corrélations
acteurs/déficits ou les flowcharts, souvent complexes et encombrants.
La septième et dernière étape vise
à tirer les enseignements des écarts
constatés et proposer des actions de
suppression ou de réduction du risque
(voir encadré 5).
11
Quelles conclusions tirez-vous de
l’utilisation pratique des cindyniques,
en particulier de l’application à la catastrophe de Fukushima ?
Tommaso Capurso :
L’approche cindynique est générale/
générique en matière de gestion des
risques. Elle est adaptable à la complexité du problème /de la situation. Elle
constitue une méthode systémique de
représentation qui permet de mettre en
évidence l’interaction dynamique entre les acteurs, en même temps qu’elle
permet la mise en perspective du contexte avec les connaissances des acteurs
sur la situation de danger. Elle facilite la
compréhension et la modélisation du
«système» et de son «cycle» d’évolution
(événements, décisions…), la structuration des résultats, l’identification de ce
qu’il faudrait modifier dans le système
pour qu’un sinistre ne puisse pas se reproduire (ou du moins, que sa probabilité soit réduite). Enfin, elle permet aussi
d’exprimer une opinion sur la gestion
des risques.
Toutefois, sa maturité, en termes
d’application pratique et méthodique,
peut encore progresser. La modélisation et les évaluations qualitatives des
déficits (basées sur une typologie empirique), nécessitent une interprétation
de la part de l’utilisateur. Des omissions
ou des redondances restent possibles
dans l’inventaire des diagnostics. Un
jugement d’expert « métier » est requis
pour couvrir les aspects stratégiques et
opérationnels. Un apprentissage progressif est nécessaire. Il faut d’abord
débuter par un cas concret simple avant
d’aboutir à une application réellement
systématique et des limites apparaissent
en cas de spécificités opérationnelles ou
sectorielles. Il est sans doute prudent de
procéder à une validation croisée des
conclusions via d’autres approches ou
modèles (modèles socio-techniques,
modèles intégrés de sécurité,…).
• une confiance excessive dans l’innovation et le progrès technique ;
• la négligence de risques considérés
comme maîtrisés depuis longtemps ;
• une dilution des responsabilités ;
• l’insuffisance de moyens pour limiter
les effets de la catastrophe.
Les auditeurs internes et risk managers
disposent maintenant d’un outil puissant de maîtrise des risques, pouvant les
aider à faire face, avec discernement, à
des situations à haut risque et créer de la
valeur ajoutée dans leurs organisations.
Néanmoins, pour paraphraser le célèbre dicton : Rome n’a pas été faite en un
jour. Les cindyniques non plus !
On retrouve dans le cas de l’accident de
Fukushima les ingrédients qui, comme
l’a indiqué Antoine de Boissieu, ont été
à la source de nombreuses catastrophes
industrielles par le passé :
Encadré 3 : « Tentative » de modélisation des acteurs concernés par l‘accident de Fukushima.
C’est ainsi que l’on voit apparaître notamment :
• Les instances ministérielles (MEXT, METI,…) structurées en cascade jusqu’au cabinet du Premier Ministre, assurant à la fois la
promotion de l’énergie nucléaire et la supervision de la réglementation
• le régulateur (NISA)
• l’organisme de contrôle (le « TSO »)
• l’exploitant (TEPCO)
D’autres acteurs interviennent également dans :
• le retour d’expérience en matière d’exploitation des centrales nucléaires : le réseau ETSON des organismes de contrôle et l’association mondiale des exploitants de centrales nucléaires (WANO)
• la conception initiale de l’époque (l’US NRC)
• la maîtrise de l’utilisation sûre des technologies liées au nucléaire (inspection, information, recherche) (l’AIEA)
• la consolidation du reporting et des bases de données au niveau international jusqu’à l’OCDE…
CABINET
OFFICE
NSC
AEC
OCDE
NEA
[UE]
IRS
(International Reporting System)
Base données
(~8000 incidents rapportés)
AIEA
(Nuclear safety
Commission
(Atomic Energy
Commission)
(Nuclear Energy Agency)
Input =
philosophie
nucléaire
Regional Authority
NB:Directives en radio
protection, mais pas
d'harmonisation de la sûreté
MEXT
[WENRA]
Western European
Nuclear Regulators Association
JAEA
OFF-SITE
CENTER
US NRC
(Nuclear Regulatory
Commission)
WANO
World Association
Nuclear Operators
(Ministry Energy,
Trade & Industry)
(Japan Atomic
Energy Agency)
"Preparedness"
Plan d'urgence
Input R-Ex annuel
par pays: description; codification;
leçons; actions correctives)
METI
(Ministry
Education...
Technology)
Règles initiales
de conception
Echanges R-Ex
Peer review indépte du TSO
Basic
Law
SAFETY
REGULATOR:
Supervision
& audit of
safety
regulation
NISA
(Nuclear Safety and
Industry Agency)
Basic design
Contrôles
TSO
(Technical Safety
Organization)
(JNESO)
Proposition
normes et
critères de
design
R-Ex
Approbation
Inspections
Network of
TSO's
(= ETSON network in
Europe)
TEPCO
12
Encadré 4 : Extrait d’une « grille cindynique » selon les cinq axes
Axe cindynique
Commentaires
1. Faits
Déficit cognitif et d’apprentissage (« learning deficiency ») : historique, ampleur et
probabilité des tsunamis…
2. Représentations et modèles
Manque d’adaptation des modèles par rapport aux retours d’expérience.
Défaillance dans la capacité de remise en cause du design de la centrale et des hypothèses opérationnelles.
3.Objectifs
Non-priorisation claire entre finalités (NISA vs. TSO en particulier : séparation de
fonctions).
Fragmentation organisationnelle et formalisme administratif.
4. Règles
Absence de cadre réglementaire (guidance claire et harmonisée, normes) en matière de design et d’évaluation de la sécurité (séismes, accidents graves).
Manque de prise en compte d’évènements « complexes » (impact multi sites, SBO
(« Station Blackout »),…).
Manque de préparation à la gestion d’une situation d’urgence nucléaire (coordination et harmonisation des méthodes et moyens techniques nationaux d’appui).
5.Culture
Manque de diffusion de la culture organisationnelle de la sécurité (« safety consciousness ») dans toutes les instances engagées dans des activités nucléaires.
Encadré 5 : Propositions d’actions de réduction ou de suppression du risque
Rubrique
Action de réduction. Quelques exemples relatifs à « FUKUSHIMA ».
La technique
Prévoir, pour les situations d’urgence, des moyens de (télé) communication restant
fonctionnels dans des conditions de « SBO ».
Revoir la conception des dispositifs de monitoring des installations en vue
d’acquérir l’information pertinente, la vue d’ensemble et permettre la prise de décision adéquate (évacuation,…).
L’humain
Faire évoluer la culture technique “culture sociotechnique” culture de sécurité (réglée
à gérée).
« Disaster training » (« emergency response »).
L’organisationnel
Le régulateur doit définir la méthodologie (guides, normes…) pour la prise en
considération ad hoc des tsunamis, les mesures de conception et les critères
d’évaluation de leur efficacité.
« Emergency Preparedness » : définir les mesures pour assurer la fonctionnalité
opérationnelle, e.a. « Off-site » (Nuclear Emergency Response Headquarter) même
en cas de catastrophe à grande échelle.
Définir les modes de coopération (vs. fragmentation excessive du travail).
Analyse de risque formelle, à tenir à jour et à communiquer aux instances pour
décisions.
Evaluer la robustesse des centrales (« stress test »).
Améliorer l’indépendance du régulateur (séparer NISA du METI) vers une Agence
unifiée (« Nuclear Safety and Security Agency »).
L’environnement
Echanger avec les autres réseaux afin d’améliorer les connaissances scientifiques,
technologiques, … en matière de tsunamis (à défenses en profondeur).
13
Tommaso Capurso nous en dira un peu plus sur les
cindyniques à l’occasion de la prochaine Conférence
internationale de l’IIA à Orlando (15 au 17 juillet 2013).
Bibliographie :
• « Les sciences du danger au service de l’analyse des accidents », T.Capurso. Propos recueillis par D. Kapp, revue «
Face au risque », n°488, déc. 2012
• « L’archipel du danger » G.-Y. Kervern et P. Rubise,
Ed.Economica, 1991
• « Cindyniques – Concepts et mode d’emploi », G.-Y.
Kervern et P.Boulanger, Ed.Economica, 2007
• Report of the National Diet of Japan Fukushima Nuclear Accident Independent Investigation Commission
(04/07/2012)
• « US Industry Response to the Fukushima Accident »,
EPRI (Electric Power Research Institute), Lausanne, 3 novembre 2011.
• « La modélisation des systèmes complexes », J.-L. Lemoigne
• « Introduction à la pensée complexe », E. Morin.
• “Project management Body Of Knowledge”, PMI (“Project Management Institute”)
• “Advanced System and Safety Engineering Environment”, Nancy Leveson, MIT
• “BP: interrogations sur la marée noire”, Antoine de Boissieu, revue Audit & Contrôle internes, IFACI, n°201, septembre/octobre 2010.
14
La Stratégie nationale du contrôle interne (SNCI),
vers la certification des comptes publics du Mali
Dramane SIDIBE, CIA, DPAI.
La recherche de la performance, jusque-là réservée
aux entreprises privées, est devenue de nos jours
une préoccupation majeure du secteur public africain à cause de la crise économique et financière aggravée du poids insoutenable de la dette publique,
de la crise de confiance entre l’Etat et les citoyens et
de l’évolution des attentes des usagers.
De prime abord, il convient de rappeler que déjà au début du 20ème
siècle, cette réflexion a commencé
aux Etats-Unis d’Amérique, à travers
plusieurs travaux parmi lesquels ceux
de la Commission pour l'économie
et l'efficacité sur la présentation
d'un budget programme en 1912,
l’introduction de la notion de contrôle de gestion avec des indicateurs
de résultats ou de performance en
1929, la Commission Hoover sur la
refonte complète de la structure administrative des ministères en 1947.
A cela s'ajoute l'introduction en 1960,
dans l'administration des méthodes
des grandes entreprises américaines
développées dans les années 1920,
à savoir le Planning Programming
Budgeting System (PPBS) et la reddition des comptes en 1973.
Quant à la France, il faudrait signaler
successivement l’expérimentation du
PPBS sous l’appellation de rationalisation des choix budgétaires (RCB) et en
2006 la loi organique relative aux lois
de finance (LOLF) qui fut une révolution dans le domaine de la gestion
publique.
Face à ces défis lointains mais toujours d’actualité, c’est-à-dire la recherche de l’efficacité dans la gestion
publique, le Mali a entrepris de vastes
programmes de reforme de l’Etat, dont
le Plan d’action gouvernemental pour
l’amélioration et la modernisation de la
gestion des finances publiques (PAGAM/
GFP) qui constitue le volet «Finance Publique» de cette réforme. Le PAGAM/GFP
s’inscrit dans le cadre du Programme
de Développement Institutionnel (PDI)
faisant également partie intégrante
du Cadre stratégique de croissance et
de réduction de la pauvreté (CSCRP).
En effet, si le premier PAGAM/GFP visait, entre autres, à hisser les systèmes
de gestion et de contrôle à un niveau
permettant la certification internationale, le second repose sur quatre composantes stratégiques dont la reforme
systémique des contrôles exécutif, législatif et judiciaire.
Ainsi, la Stratégie nationale du contrôle interne (SNCI), composante
du PAGAM/GFP II, balise le cadre
stratégique et technique de la réforme
du contrôle interne au Mali à travers
la responsabilisation, la maîtrise des
ressources et des risques par les gestionnaires. Elle s’inscrit également en
faveur de la promotion de la gestion
axée sur le résultat et le respect des
directives communautaires notamment la certification des comptes publics.
Comment a t- elle été conçue ? Quel
est l’état du contrôle interne public
et quels sont les objectifs visés et les
résultats attendus ? Nous devons
également nous interroger sur le
périmètre de ce projet au regard de la
complexité de la notion de contrôle
interne.
Le processus d’élaboration de la
SNCI : une forte implication des
parties prenantes pour amorcer
le changement :
Projet transversal conjointement initié
par le Commissariat au développement
institutionnel (CDI), la Cellule d’appui à
la réforme des finances publiques (CARFIP) et le Contrôle général des services
publics (CGSP), la Stratégie nationale
du contrôle interne est gérée par une
Commission mixte placée sous l’autorité
du Comité Technique du PAGAM/GF. A
cet effet, en plus des responsables du
PAGAM/GF, font également partie de
cette commission les partenaires techniques et financiers et les représentants de la société civile. La Commission
est présidée par le Secrétariat Général
du Ministère de l’économie et des finances avec comme maître d’ouvrage
le CGSP pour assurer le suivi de l’état
d’avancement du projet, l’information
des différents acteurs et l’organisation
des réunions.
L’implication de tous les acteurs avec
l’éclairage des représentants de la société civile dont les ordres professionnels (Experts comptables et comptables agréés du Mali et l’Institut de
l’Audit Interne du Mali (ACIAM) ) explique toute l’importance de ce projet
avec la prise en charge de leurs préoccupations pour une administration
publique performante au service des
usagers.
L’étude de l’environnement ainsi réalisée a passé au crible l’état du contrôle
interne public.
Un état chaotique du Système de
Contrôle Interne Public :
Les résultats de l’étude sur l’environnement ont mis en exergue les fai-blesses
du système de contrôle interne public justifiant toute l’importance de la
Stratégie nationale du contrôle interne.
15
En effet, il ressort de cette étude que
tous les niveaux de contrôle souffrent
de grandes lacunes, annihilant les efforts de développement du Mali. Les
points les plus saillants sont :
• pour les contrôles a priori, nous
pouvons citer, l’inefficience des contrôles en place, la non couverture des
contrôles budgétaires sur les recettes
et surtout la non disponibilité, en temps
réel, de l’information financière et
comptable sur les engagements et les
dépenses ;
• pour ce qui concerne les contrôles
concomitants, il s’agit, entre autres, de
l’imputabilité, de l’absence de maîitrise
des ressources et de standards dans
l’élaboration des manuels de procédures et de leur application, de la non
maitrise de la gestion des risques, etc.
• Quant aux contrôles a posteriori, l’audit
interne stricto sensu est en phase de
balbutiement dans l’administration. De
même, les structures n’arrivent pas à
couvrir tous les champs des opérations
publiques.
De plus, malgré la multiplicité des organes de contrôle, l’administration
publique souffre du manque de
d’enracinement de la culture de contrôle. De même, l’absence de coordination des structures de contrôle et de
leur professionnalisation constitue une
lacune grave à laquelle il faut remédier
pour atteindre les objectifs de politique
économique.
La Stratégie nationale du contrôle interne : une ambition affichée quant
aux résultats :
Au regard de ces constats plutôt négatifs, « un contrôle interne performant,
harmonisé, favorisant la bonne gouvernance et le service aux citoyens » est la
vision de ce projet transversal avec quatre objectifs stratégiques déclinés en 19
objectifs opérationnels :
Responsabiliser les gestionnaires et sécuriser leur gestion ;
• Renforcer la capacité des gestionnaires
publics ;
•Accroîitre l’imputabilité chez les gestionnaires ;
• Implanter, dans les services publics, des systèmes de détection et de
traitement de risques ;
• Instituer l’audit interne en appui à la
gestion ;
• Alléger les contrôles a priori
:
budgétaires, comptables et de passation de marchés publics ;
• Promouvoir l’éthique et le respect de
la déontologie.
Assurer la régularité et l’efficacité des
opérations des administrations publiques ;
objectifs favorisera, à n’en pas douter,
la certification des comptes publics.
• Appliquer un contrôle financier sélectif
sur les recettes ;
• Généraliser l’application des manuels
de procédures ;
• Appliquer la comptabilité matière dans
tous les services ;
• Renforcer les systèmes internes de
planification, de coordination et suivi ;
• Augmenter la couverture géographique des contrôles a posteriori ;
• Développer l’audit de la performance ;
• Favoriser la connaissance et l’application des textes.
La SNCI est – elle appropriée et
solide au regard de ses objectifs
stratégiques et opérationnels ?
Garantir la fiabilité et l’intégrité de
l’information publique ;
• Améliorer la qualité de l’information
financière destinée à la reddition des
comptes ;
• Renforcer et moderniser le système
d’archivage dans les services publics ;
• Publier la synthèse annuelle des
résultats des missions de contrôle et
d’audit du CGSP et des inspections
ministérielles ;
• Développer l’audit des systèmes informatiques.
armoniser et professionnaliser les praH
tiques de contrôle et d’audit.
• Harmoniser les méthodes de contrôle
et d’audit ;
• Professionnaliser les corps de contrôle
et d’audit.
Il en découle, d’une part, que les activités inscrites dans d’autres programmes
ou politiques du gouvernement y resteront, mais figureront dans la SNCI
pour assurer sa cohérence et, d’autre
part, certains objectifs opérationnels et
actions liés peuvent permettre l’atteinte
de plusieurs objectifs stratégiques.
Les objectifs opérationnels déclinés
en activités avec les responsables, les
indicateurs de performance et les risques associés ont été présentés pour
assurer la réussite du projet qui s’étale
sur 3 ans (2012- 2014) avec un budget
de 7 046 millions de FCFA, soit 10,75
millions d’euros. La réalisation de ces
Malgré la qualité du processus
d’élaboration avec l’implication de
plusieurs acteurs et l’ambition des
résultats attendus, ce projet soulève
des questionnements encore soumis
à discussion.
La stratégie nationale du contrôle interne, projet innovateur et transversal,
jouera un rôle central dans la conformité de la gestion des finances publiques suivant les directives N°06 et 09
/2009/CM/UEMOA portant respectivement sur les lois de finances et le plan
comptable de l’Etat au sein de l’UEMOA.
Déjà les acteurs impliqués ne posentils pas un problème de coordination,
donc de contrôle interne public ?
L’exécution de certaines activités
de la SNCI par le PAGAM/GF II, sous
l’autorité de la CARFIP et du Commissariat au Développement Institutionnel (CDI), n’implique-t-elle pas la nécessité d’une réflexion autour des acteurs
conduisant les reformes de contrôle
interne dans un souci de rationalisation ou d’efficacité ?
En effet, l’action gouvernementale
étant conduite par la Primature, le CDI
ou encore le « Commissariat aux reformes publiques » liés à elle et gérant
en son sein toutes les réformes, réduira
les chaînes de coordination souvent
très coûteuses et permettra une optimisation de la gestion des ressources
publiques. Ainsi, le CDI verra un renforcement de ses attributions qui vont
au-delà de l’aspect institutionnel.
Aussi, l’architecture actuelle de contrôle
des finances publiques mérite d’être repensée pour rendre les structures plus
indépendantes et plus optimales avant
l’introduction d’une nouvelle activité,
c’est à dire l’audit interne. Ces structures,
déjà en place, souffrent du vieillissement des effectifs, mais aussi de la persistance de la connotation de « garage
» malgré des programmes denses de
formation. En effet, elles sont parfois le
recasement d’anciens hauts cadres auxquels il faut trouver un point de chute.
L’accès aux structures de contrôle doit
se faire par voie de concours. Ainsi, les
16
sortants de la nouvelle Ecole nationale
d’administration (ENA) constituent un
vivier pour les structures de contrôle
en raison de la qualité du recrutement
et de celle de la formation dispensée.
Au lieu d’une concurrence entre les
structures de contrôle des finances
publiques, avoir des démembrements
du contrôle général des services publics dans tous les ministères en lieu et
place des différentes inspections a pour
avantage, d’une part, la facilitation de
la coordination et, d’autre part, le renforcement de l’indépendance des différentes structures. La nouvelle reforme
de l’Inspection générale des finances
soulève un risque de conflit avec le CGSP.
Plusieurs études ont été menées sur le
contrôle des finances publiques, surtout sur l’aspect a posteriori mais dont
les résultats demeurent sans suite. Des
débats doivent être entamés entre les
professionnels pour renforcer et moderniser un système de contrôle des finances publiques dans les deux prochaines
décennies dans le seul intérêt de la
République.
Ce débat se justifie d’autant plus que
la SNCI prévoit l’insertion de l’audit interne dans l’architecture de contrôle
des finances publiques. Cependant,
ces nouvelles d’audit interne pourront- elles respecter les exigences normatives, en d’autres termes, le cadre
pour la pratique professionnelle de
l’audit interne (définition de l’audit interne, normes professionnelles, code
de déontologie et les modalités pratiques d’application) pour créer de la
valeur ajoutée ? Il demeure important
d’adapter l’administration par rapport
à ce cadre.
Des pistes sont à explorer comme
la professionnalisation de la Cellule
d’appui aux structures de contrôle de
l’administration (CASCA) qui, au lieu
d’être une cellule de compilation des rapports de contrôles et d’inspection pour
le compte du Président de la République, se verrait attribuer l’exaltante
mission de revue de qualité des structures de contrôle de l’Etat. Car analyser
un rapport de contrôle passe par la revue des dossiers de travail qui exige un
minimum de maitrise des techniques et
méthodes d’audit. La création de la Cour
des comptes, une exigence communautaire, doit également rentrer dans le cadre de la SNCI dans un souci de respect
des textes. Cela est d’autant plus impor-
tant qu’aucun compte public n’ait fait
l’objet de jugement de l’indépendance
à nos jours. Ce qui soulève également
un problème de contrôle interne et de
dotation de ladite Cour en capacités
adéquates d’auditeurs qualifiés
Enfin, une stratégie nationale du contrôle interne omettant les référentiels
métiers n’est elle pas tronquée ?
En effet, tel que précisé dans le document projet, la SNCI s’intéresse surtout à l’aspect financier au détriment
des systèmes de contrôle métiers
ou non financiers, notamment de la
Santé et de l’Armée. Une stratégie nationale devra faire une place à toutes
les activités de la gestion publique de
l’administration centrale aux structures concentrées.
Aussi, la mise en place d’un bon système
de contrôle a comme socle l’existence
de référentiels connus et partagés entre les différentes parties prenantes.
Les référentiels COSO (Committee of
Sponsoring of Organization of The
Treadway Commission) s’articulant autour de l’environnement de contrôle,
de l’évaluation des risques, des activités
de contrôle, de l’information et la communication et le pilotage, édicte « comment faire pour maîitriser aux mieux ses
activités ? ». Dans le contexte malien,
l’environnement de contrôle est fortement affecté par le politique, se traduisant par la promotion des non professionnels en audit, ce qui constitue une
atteinte grave aux normes des Institutions supérieures de contrôle, voire à
l’éthique.
La mise en œuvre d’une stratégie nationale du contrôle interne marque
l’amorce d’une révolution culturelle
en matière de contrôle avec l’adhésion
de toutes les parties prenantes. Elle
ne pourrait atteindre les résultats
escomptés sans son appropriation
par le politique, voire la société civile
pour une exigence de redevabilité
ou d’imputatibilité en matière de gestion des finances publiques. Elle doit
également s’inscrire dans une dynamique futuriste en se projetant déjà
sur les systèmes de contrôle interne
métier, levier essentiel d’un progrès
d’ensemble dans tous les secteurs.
17
L’apport de l’audit interne à la mission de l’auditeur externe.
Djamel MELHENAS
Expert Comptable DPLE
Commissaire aux Comptes
Certified Internal Controls Auditor
Certified Fraud Examiner
Dans le présent témoignage, nous allons aborder, en notre qualité
d’expert comptable et de commissaire aux comptes, l’apport de l’audit
interne à la mission d’audit financier et comptable.
Nous tenons, tout d’abord, à rappeler
que dans le cadre de la mission d’audit
comptable et financier contractuel ou
au titre d’un mandat de commissariat
aux comptes portant sur la certification des comptes sociaux, l’auditeur
externe (expert comptable / commissaire aux comptes) est amené à
exprimer une opinion motivée sur la
qualité de l’information financière.
En effet, l’aboutissement des travaux
de l’auditeur externe est l’expression
d’une opinion motivée appuyée par
des éléments probants.
Un processus méthodologique normatif et intelligent est suivi par l’auditeur externe, selon un planning d’intervention,
afin de réunir les justificatives et les éléments probants quant à son rapport final.
L’existence d’une fonction d’audit interne dans l’organisation auditée, peut
être d’une utilité remarquable dans le
cadre de la planification des travaux
d’audit. Toutefois, la norme d’audit
internationale numéro 610 publiée
par l’IFAC sous le titre « Utilisation des
travaux des auditeurs internes » exige
la mise en œuvre de diligences permettant d’apprécier la possibilité de
prendre en considération des travaux
des auditeurs internes.
Bien que les objectifs de l’auditeur externe et de l’auditeur interne soient
souvent différents, les moyens mis en
œuvre sont, quant à eux, similaires.
Concernant les diligences à suivre
par le commissaire aux comptes, ce
sont celles édictées par la norme 610 :
• Le commissaire aux comptes a à
déterminer de l’opportunité et de
l’étendue de l’utilisation des travaux
des auditeurs internes ;
• Utilisation de travaux spécifiques
effectués par l’auditeur interne.
Ainsi, pour le premier point, l’auditeur
externe va évaluer l’adéquation des
travaux d’audit interne en examinant
les points suivants :
• l’objectivité de la fonction d’audit interne Indépendance et objectivité) ;
• la compétence technique des auditeurs internes (compétence et conscience professionnelle) ;
• s’il est probable que les travaux des
auditeurs internes sont menés dans un
esprit de conscience professionnelle
(compétence et conscience professionnelle) ;
• s’il est probable qu’il existe une communication effective entre les auditeurs internes et l’auditeur externe.
L’auditeur externe examine également l’incidence des travaux des auditeurs internes en passant en revue :
• la nature et l’étendue des travaux
spécifiques réalisés, ou à réaliser, par
les auditeurs internes ;
• les risques évalués d’anomalies signi- ficatives au niveau des assertions pour
des flux particuliers de transactions,
des soldes de comptes particuliers, et
des informations particulières à fournir dans les états financiers recueillis
par les auditeurs internes à l’appui des
assertions concernées.
Les diligences à mettre par le commissaire aux comptes pour le second point
sont comme suit :
• les travaux ont été menés par des
auditeurs internes possédant une
formation technique et un profil
adéquats ;
• les travaux ont été correctement
supervisés, revus et documentés ;
• des éléments probants adéquats
ont été recueillis pour permettre
aux auditeurs internes de tirer des
conclusions raisonnables ;
• les conclusions tirées sont appropriées en la circonstance et les
rapports établis par les auditeurs
internes sont cohérents avec les
résultats des travaux effectués ;
• toutes les exceptions ou points
inhabituels relevés par les travaux
des auditeurs internes ont été correctement traités.
Sur le plan pratique, l’auditeur externe, examine, les points suivants :
• La fonction de l’audit interne : sa
position hiérarchique, ses relations avec les autres structures et
notamment le comité d’audit et le
management ;
• La qualification des auditeurs internes sur le plan de la formation,
ainsi, des auditeurs internes possédant des qualifications et des
certifications
professionnelles
telles que le CIA, DPAI, CFE, Master
en audit interne et une expérience
appropriée et adéquate dans le
secteur sont un gage de crédibilité
et de qualité ;
• L’existence des procédures d’audit
interne applicables et suivies ;
• Documentation adéquate
travaux et supervision.
des
18
• Certification de la fonction d’audit interne par rapport à son respect des
normes d’audit internes professionnelles.
Après l’évaluation des points cités cidessus, l’auditeur externe déterminera l’adéquation des travaux des auditeurs interne pour en tenir compte
dans l’ajustement de son planning
d’intervention.
Les bénéfices ainsi apportés par une
fonction d’audit interne performante
pour l’auditeur externe sont :
• Un degré d’assurance élevé quant à
la sécurisation de l’information financière et du système de contrôle interne ;
• Délai d’intervention plus court dans la
réalisation des audits externes ;
• Possibilité de réduction de la nature et
de l’étendue des travaux d’audit et par
conséquent des honoraires d’audit ;
• Reconnaissance du professionnalisme
des auditeurs internes par des professionnels externes;
Ce que nous avons pu constater, au
cours de nos interventions auprès
des entreprises dotées d’une fonction
d’audit interne, est qu’une collaboration étroite entre l’auditeur externe
et l’auditeur interne est souvent une
relation de type gagnant-gagnant, par
l’apport de chacun à l’autre dans la
réalisation des ses objectifs. Enfin, c’est
l’information financière qui gagne en
crédit et par conséquent, rassure les
utilisateurs quant à son emploi.
Abréviations :
CIA : Certified Internal Auditor.
DPAI : Diplôme Professionnel de l’Audit
Interne.
CICA : Certified Internal Controls Auditor
LA MANIPULATION DES BESOINS DANS
LES OPERATIONS D’ACHAT
Noël Pons, consultant,CIA
Yoanna Pons, auditeur informatique groupe TUILLET
En général, tout marché qu’il soit public
ou privé est initié sur la base d’un besoin
dont la réalisation contribue à la bonne
marche de l’entité publique ou privée
qui l’exprime. Nous avons analysé dans
les articles précédents (articles parus
dans les lettres trimestrielles n° 8, 9 et 10
de l’UFAI) les risques généraux affectant
les marchés, ainsi que les montages les
plus souvent utilisés afin d’éviter l’appel
d’offres. Cet article décrit les procédés
utilisés au moment de la définition des
besoins, au tout début de la procédure
d’achat. L’évaluation du besoin constitue
le fait générateur de l’opération d’achat
qui se matérialisera ultérieurement
dans une procédure structurée applicable aussi bien aux marchés publics que
privés.
A ce moment crucial, le fraudeur ou
le corrompu va tenter d’influencer la
prise de décision dans le but d’initier
l’opération conformément à ses intérêts. Que la décision soit utile ou pas
importe peu, il convient seulement de
la faire valider dans les conditions escomptées par les structures décisionnaires. Une fois cette décision forcée,
l’opération suivra son cours sans blocage.
Nous parcourons dans cet article, les
divers procédés susceptibles d’être
utilisés afin de générer un besoin acceptable par les décideurs. Nous ne
traiterons pas, ici, des marchés publics
créant « d’éléphants blancs » (ouvrages
importants dont les coûts de fabrication et d’entretien deviennent impossibles à assurer et dont la corruption a pu
constituer l’explication première). Leur
création a simplement servi de machine
à cash pour financer la vie politique et
les vestiges ressemblent à un cimetière
industriel : ponts installés au milieu de
champs sans qu’aucune route n’y conduise, des ronds-points, des échangeurs,
appelés aussi familièrement les « pots
de vin » dont on a omis de construire les
voies d’accès, les stades sans joueurs.
Les exemples sont multiples et constituent l’exemple extrême de la manipulation d’un besoin.
I- LES MANIPULATIONS SONT MULTIPLES :
Le fraudeur ou le corrompu sait parfaitement adapter ces manipulations à
ses objectifs, aux opportunités qui lui
sont ouvertes et aux pratiques frauduleuses sectorielles. Elles sont volontaires ou « surfent » sur l’incompétence
ou l’absence de contrôle.
Par principe, les marchés publics ou
privés et plus largement toutes les
opérations d’achats, doivent être justifiés par l’existence d’un besoin contribuant à l’activité de l’entreprise et
engagé dans l’intérêt direct et exclusif
de la collectivité ou de la société. Or, ce
sont les intérêts particuliers et personnels qui motivent la création de faux
besoins. Ils sont destinés à :
-Accroître l’avantage et les gains de
certains fournisseurs au détriment de
certains autres ;
-Limiter ou éliminer la concurrence ;
- Susciter des opportunités pour la création ultérieure d’ordres de modifications
qui seront très rémunérateurs pour le
fournisseur, car conclus hors des spécificités du contrat ;
- Ecarter les fournisseurs agréés qualifiés ;
- S’échapper d‘une relation de partenariat établie de longue date avec certains
fournisseurs ;
- Générer une pré- qualification inappropriée.
La manipulation des besoins constitue
souvent le support commode d’un
montage de corruption ou de favoritisme qui sera développé à l’occasion
de cette prestation ou de cet achat qui
ne présente aucun intérêt ou un intérêt relatif pour la collectivité ou pour
l’entreprise. En l’espèce, le montage
19
permet au corrupteur de disposer, une
fois le marché obtenu, des fonds nécessaires au paiement du corrompu et à
son propre financement. Les modalités de partage et de transmission des
sommes obtenues entre le corrupteur
et le corrompu sont variées. Elles passent souvent par la création de sociétés
écrans. Il est conseillé à cet égard, de se
reporter à l’article paru au n°190 de la
revue Audit et contrôles internes «Les
sociétés écrans, paradigme éclatant des
montages organisés ».
II– LES TYPOLOGIES DES MANIPULATIONS DU BESOIN :
Parmi les multiples possibilités de manipulation, les montages le plus souvent identifiés sont les suivants :
- Transmission d’informations fausses,
tronquées ou modifiées, ce qui est
souvent le cas pour l’engagement de
travaux importants (ex : construction
d’une nouvelle école en se basant sur
des statistiques tronquées ou falsifiées
qui mettent en évidence une augmentation du nombre d’élèves, alors qu’en
réalité la fréquentation baisse) ;.
- Surestimation des avantages, ces derniers sont exagérés et les coûts ou les
risques sous-estimés ;
- Sous-estimation des risques en matière
de sécurité ou d’hygiène, ce qui génère
une valorisation inférieure à ce qu’elle
sera finalement. L’évaluation minorée
peut rendre le budget acceptable, alors
qu’une juste évaluation aurait pu bloquer l’acceptation du projet ;
- Omission d’effectuer une analyse des
coûts sur le cycle de vie ;
- Omission d’intégrer la possibilité de
remplacement de pièces alors que la
réparation est moins onéreuse ;
- Omission d’effectuer des consultations
sur les aspects commerciaux ;
- Présentation du projet en l’absence de
toute solution alternative ;
- S’appuyer sur le fait que le projet nécessite une source unique ;
- Falsification du niveau des stocks initiant, de ce fait, un réassortiment inutile
ou des achats excessifs. Cela se produit
souvent lorsqu’il existe des liens (conflit d’intérêt) entre le gestionnaire des
stocks (ou du magasin) et/ou du décideur avec le fournisseur ;
- Interprétation de manière délibérément altérée les exigences juridiques
ou omission de consulter le service juridique qui aurait pu aisément identifier
l’erreur ;
- Ignorance ou camouflage délibéré
de l’évaluation des coûts réels
d’exploitation qui excéderont largement les estimations ;
- Omission de faire réaliser une étude
de l’offre interne dans le domaine des
prestations, ou de s’assurer de la disponibilité des produits ou services en
interne ;
- Divulgation d’informations non autorisées permettant, ainsi, au fournisseur
choisi, de proposer la meilleure offre.
Cette faute n’est pas propre à la manipulation des besoins, mais à l’ensemble
des passations de marchés.
III- LES INDICATEURS DE PRESENCE
DE CES MANIPULATIONS :
Lorsqu’une manipulation des besoins
a eu lieu, elle est identifiée par les contrôles à posteriori, souvent après que
les travaux aient été engagés, ou une
fois que le marché est terminé. Un faisceau d’indicateurs existe bien, mais il
n’apparaît que tardivement.
Les indicateurs généraux suivants seront le plus souvent identifiés :
- Un dépassement du budget qui n’a pas
généré de réactions de la part des services de contrôle ;
- Le constat de la présence d’une dérive
financière par rapport à l’estimation initiale lors de la réalisation et en particulier lorsqu’elle est due à une inflation des
coûts provenant de fausses exigences
ou à des spécifications discutables du
fournisseur ou encore, lorsque la liste
agréée des soumissionnaires n’a pas été
utilisée ;
- Une fréquence élevée des ordres de
modifications qui, bien que ne constituant pas un indicateur exclusif de la manipulation des besoins, accompagnent
le marché en permettant une inflation
des coûts ;
- L’intervention d’une structure extérieure liée à l’acheteur ou au fournisseur, qui valide de manière apparemment indépendante la manipulation.
Cette structure de type bureau d’études
peut aussi jouer sur la faible compétence
des acheteurs dans certains domaines
afin de vendre des produits peu utilisées
et en tout cas disproportionnés ;
- L’absence de prise en compte de solutions alternatives, l’utilisation de
procédures d’urgence qui ne font pas
appel à la concurrence ;
- L’absence d’appel d’offres ouvert expliquées par l’urgence ou par les caractéristiques du fournisseur, caractéris-
tiques par ailleurs discutables ;
- L’absence d’étude des coûts induits
qui a généré un dépassement des
budgets prévus ;
- Le constat de la faible qualité de la
prestation qui se matérialise par un
nombre élevé de rejets pour des raisons techniques ou par des réclamations des utilisateurs. :
Ces éléments sont le plus souvent identifiés à la fin des opérations, une fois que
le projet touche à sa fin, que la plupart
des paiements ont été effectués, et que
la carence devient apparente.
D’autres indicateurs pointant l’existence de liens avec le fournisseur qui
peuvent être dus à une carence de contrôle ou à une complicité, peuvent être
identifiés.
- L’existence de modifications injustifiées
et récurrentes dans les marchés passés
avec le fournisseur concerné, sans demande d’explications ;
- Le constat de l’existence d’une mauvaise application délibérée des tarifs
unitaires et journaliers qui n’a pas été
relevée par les services de contrôle interne ;
- L’acceptation d’une sous-performance
par le service de contrôle, sans contrepartie ;
- L’acceptation de la facturation de volumes unitaires majorés et de variations
de prix gonflées ;
- L’absence de réaction face à des retards
de livraison ;
- L’acceptation des modalités et des
conditions proposées par le fournisseur sans effectuer de comparaisons ;
- La présence de besoins prévisibles
qui n’ont pas figuré dans le projet et
qui ont été inclus dans les demandes
de modification des travaux ;
- Le même fournisseur remporte systématiquement les marchés ;
- Un nombre élevé de propositions
émanant d’une source unique est constaté.
IV- MESURES PREVENTIVES :
Les mesures préventives susceptibles
de limiter ces montages peuvent être
choisies parmi les mesures générales
utilisées dans ce domaine. On gagne
à distinguer les mesures de contrôle
classique et les mesures applicables
dans le domaine du contrôle des paiements.
20
En termes de contrôles généraux :
- Analyser la nature de la séparation des
tâches entre l’évaluation des besoins et
l’engagement ;
- Déterminer et mesurer, en termes qualitatifs et quantitatifs (rôle de premier
plan/de deuxième plan), l’importance
de chaque activité pour l’entreprise ;
- Repérer les activités actuelles et, les
besoins futurs afin d’étayer les objectifs
et chacun des projets ;
- S’assurer que des fonctions spécialisées participent à l’élaboration de
l’argumentation et des stratégies, avant
que les projets soient validés ;
- Encourager l’amélioration des compétences techniques des fournisseurs
- S’assurer que les besoins concernés ne
peuvent pas être satisfaits en interne
pour un coût moindre ;
- Procéder au benchmarking des coûts et
installer une base de données « Coûts» ;
- Exiger un examen (indépendant) des
spécifications par des fonctions appropriées, afin de garantir la cohérence
avec les besoins du secteur ;
- Exiger la mise en place d’une validation indépendante des ordres lors de
toute modification majeure de l’objet
du contrat ;
- Exiger un examen indépendant des
modalités contractuelles ;
- S’assurer qu’il n’existe pas d’écart par
rapport aux contrats standards, via
l’omission :
• des droits d’audit ;
• de pratiques du secteur/ de la déontologie ;
• des exigences du responsable hygiène-sécurité ;
• des exigences juridiques (indemnités/ assurances/ garanties).
-Pour les dossiers complexes, exiger
l’intervention d’un juriste dès le début
de l’opération
En termes de contrôles financiers :
- Effectuer des contrôles effectifs de
l’échéancier ;
- S’assurer que les prévisions des flux
de trésorerie soient cohérents par rapport aux programmes d’exécution des
travaux ;
- S’assurer qu’il n’existe pas de stipulations comportant des modalités de
paiement défavorables telles que :
• L’existence de paiements anticipés
sans escompte ;
• L’omission de ristourne pour gros
volume ;
• L’existence de paiements avant fourniture des produits ou de la prestation.
- S’assurer qu’il n’existe pas de stipulations comportant des modalités de contrôle défavorables :
• L’absence de pénalités en cas de retard de livraison ;
• Le lieu de livraison non précisé ;
• Le coût de l’assurance et du transport non précisé ;
• L’échéancier des paiements échelonnés est inapproprié.
En termes de contractualisation :
• E xiger la mise en place d’un plan
d’assurance qualité ou un suivi de la
qualité, si cela est possible.
L’assurance « qualité » est devenue un
élément essentiel dans la réalisation des
contrats. Les « PAQ » contiennent des
dispositions spécifiques identifiant les
points-étapes de l’exécution du contrat,
l’avancement de leur réalisation ainsi
que la validation de chacune des étapes.
Chaque grande étape du contrat est ainsi soumise à validation.
• Exiger la mise en place de « comités
projet » si cela est possible.
Des « comités projet » permettent
d’établir un suivi du projet tout au long
de contrat. Le suivi du projet est de plus
en plus accompagné de graphiques
ou de schémas établissant l’avancée
des travaux à partir de certains indicateurs. La visualisation de l’avancée
en est simplifiée et marquante. Cependant, le choix des indicateurs doit
être particulièrement réfléchi et pertinent, car il est possible, en fonction de
l’indicateur choisi, de faire apparaitre
une situation non inquiétante, ne correspondant pas à la réalité. Ce moyen
peut donc être utilisé pour valider des
étapes alors même que l’état réel de
ces dernières ne correspond pas du
tout aux données transmises.
• L’existence de paiements anticipés
échelonnés ;
21
Prévenir la fraude bancaire sans y laisser sa chemise
Joël Winteregg
CEO-CTO NetGuardians SA
Ou comment investir dans la prévention tout
en économisant ?
Aujourd’hui, des solutions logicielles permettent de réduire son exposition face aux risques
de fraude tout en optimisant le coût de leur
transfert au marché de l’assurance.
Il y a 20 ans, la fraude dans les institutions financières était relativement simple à identifier : l’environnement était
bien circonscrit, les flux moindres, et
les opérations complexes étaient compréhensibles par tous.
Ces dernières années, le changement
radical de l’environnement, notamment lié à la mondialisation, a généré
certaines faiblesses. Par exemple,
les banques se sont mises à exercer
d’autres métiers – elles sont toutes entrées dans l’ère du numérique.
Cette évolution est accompagnée
d’une augmentation des échanges
ainsi que d’un accroissement des règles de conformité. La complexité des
opérations a rendu certains contrôles
pratiquement impossibles, alors que
d’autres ont été remis au second plan.
De nos jours, les fraudes sont presque
devenues des pertes collatérales acceptables.
Différentes méthodes de gestion et
de modélisation des risques offrent un
cadre permettant d’identifier, formaliser
et traiter les risques d’une institution. En
définitive, les principaux risques identifiés, notamment les risques de fraude,
seront traités à l’aide d’un ensemble de
mesures :
• Réduction du risque ;
• Transfert du risque (assurance) ;
• Rétention du risque (autofinancement) ;
Il est ainsi commun de réduire certains risques à l’aide de processus ou
solutions informatiques, tout en transférant (assurant) le risque résiduel encouru.
Cette approche débouche sur la
question de l’optimisation des investissements : réduction du risque VS
transfert du risque. Soit, comment la
mise en œuvre de mesures de réduction des risques influe-t-elle sur mes
primes d’assurance. En d’autres mots,
est-ce que l’investissement relatif à
une solution de réduction de mon exposition aux risques de fraude me
permettra de diminuer mes primes
d’assurances ?
Plusieurs avantages découlent de ce
type d’optimisation :
1. Prévenir plutôt que guérir. Mise en
œuvre de solutions en amont puisque,
hormis les pertes financières directes, le
risque d’image encouru par une fraude
est généralement dévastateur ;
2. Economies substantielles lorsque la
réduction des primes d’assurance permet un financement partiel de la solution de réduction.
C’est par exemple l’approche qu’
Unirisc Group (spécialiste en gestion
des risques ainsi qu’en conseils en
assurance) et NetGuardians (éditeur
reconnu pour ses solutions de maîtrise de risques opérationnels bancaires) proposent aujourd’hui.
Comprendre et réduire le risque
de fraude :
Comme dans bon nombre de situations,
c’est l’humain le maillon faible. Dans un
monde bancaire ultra informatisé, ses
interactions se situent à deux niveaux :
• Métier (front-office, back-office, etc.)
• Technique (administrateur système,
administrateur de bases de données,
consultant, etc.).
• Technique (administrateur système,
administrateur de bases de données,
consultant, etc.).
La fraude réalisée par des utilisateurs métier a généralement recours
à d’habiles manipulations financières
nécessitant la falsification de dossiers,
de fausses demandes, l’ouverture de
comptes fictifs, etc. Celles réalisées par
des informaticiens, nécessitent généralement des accès à des infrastructures
sensibles comme les applications « core
banking », les systèmes de gestion des
droits d’accès, etc.
Aujourd’hui, la maîtrise de ces risques s’articule principalement autour
de trois lignes de défenses :
• Sécurité opérationnelle : Prévention ;
• Contrôle interne : Détection ;
• Audit : Contrôle de l’efficacité et du
bon alignement métier des points
précédents.
Prévention absolue, signifie
rêter tous les systèmes :
ar-
La seconde ligne de défense (contrôle
interne) vise alors à rétablir l’équilibre
en permettant une utilisation efficace
(niveau de sécurité satisfaisant) tout
en contrôlant les failles potentiellement ouvertes ainsi que les processus
à risque.
La dernière ligne de défense relative
au processus d’audit servira, ensuite,
à analyser l’adéquation des différentes
mesures (prévention et détection) en
regard du métier et de l’évolution de
l’entreprise.
22
Couverture du contrôle interne :
Le décèlement précoce des comportements menant à une fraude métier
est généralement du ressort du contrôle interne. Cependant, cette tâche
est quasiment impossible pour les
fraudes techniques (réalisées par
des informaticiens) du fait de leurs
matérialisations situées au-dessous
du niveau du contrôle interne.
Echos des Instituts et Associations
IIA-Belgique :
1. Rappel de la désignation d’un
nouveau « Board » à l’IIA Belgium,
suite à l’Assemblée Générale annuelle du 26/04/2012
Innovationsde NetGuardians :
La solution logicielle NG|Screener associe contrôles métiers et contrôles
techniques de manière continue et
automatique. Ces actions croisées ont
pour effet d’étendre la couverture du
contrôle interne. Par exemple :
• la détection de violations de règles métier telles qu’une validation des quatre
yeux effectuée par un utilisateur en vacances ;
• la détection de changements sensibles
effectués par un administrateur de base
de données ;
• la détection d’un accès inhabituel à
des données critiques (export CSV de
clients).
C’est notamment grâce à cette approche multi-niveaux (métier et
technique) et à une analyse comportementale des activités IT et « core
banking » que NetGuardians répond
aux problématiques de réduction du
risque de fraude.
L’Assemblée Générale du 26/04/2012 a
élu, pour la période 2012-2014, un nouveau Board, composé de 8 membres.
Le Président (3ème à partir de la
gauche, en veste brune) est JeanMichel Cassiers, Directeur de l’Audit
Interne au Service Général de la
Modernisation et de la Stratégie,
Ministère de la Fédération Wallonie-Bruxelles
(Services
Publics).
Vous pouvez le joindre sur son courriel : [email protected] ou
au téléphone : +32 (0)2 413.34.52
2. Désignation d’un nouveau CEO
à IIA Belgique
Pascal Stroobant a été nommé CEO de
l’IIA Belgique le 18/06/2012.
Il connait depuis longtemps notre Institut, puisqu’il a été membre de 2004 à
2012, puis membre du Board de 2006 à
2008.
Si vous souhaitez le contacter, vous
pouvez lui envoyer un courriel à
pascal.s@iiabel ou l’appeler au siège de
l’IIA Belgique au numéro +32 2 219 82
82.
Le Board est convaincu que son expérience tant comme senior manager
au sein d’importantes compagnies
qu’au sein de l’IIA Belgique aidera
notre Institut à se développer en tant
qu’organisation professionnelle.
3. L’Audit Software Watch Day du
21/11/2012
Le 21 novembre dernier, IIA Belgique a
organisé en collaboration avec l'ISACA
son désormais traditionnel Audit Software Watchday. Cette manifestation a
pour but de permettre à des sociétés de
logiciels pour l'audit interne de montrer
leurs produits aux auditeurs internes et
IT à la recherche de solutions informatiques pour la réalisation de leurs audits.
Huit sociétés étaient présentes cette
année. Elles ont chacune donné 5 sessions de présentation sur la journée,
auxquelles ont assisté quelques 90
auditeurs internes et IT. Pendant les
différentes pauses, les auditeurs ont
également pu visiter les stands de ces 8
23
sociétés, que ce soit pour découvrir les
solutions pour lesquelles ils n'avaient
pas pu assister aux sessions de présentation, ou pour approfondir leurs contacts.
La journée a également été enrichie par
deux orateurs qui sont venus parler de
data mining et de process mining. Une
journée bien remplie et très profitable
au dire des participants autant que des
entreprises présentes.
4. Workshop du 11/09/2012 “Internal
Audit – a “co-produced” service in
the service sector”
A la suite de la Conférence internationale des 24 et 25 juin 2012 de l’AACIA
à Alger, le Président de l’IIA Belgique a
souhaité faire partager la conférence
précédemment donnée par Tommaso
Capurso à Alger (« l’Audit interne : un
service co-produit dans un monde de
services »), avec les membres de l’IIA
Belgique. 35 personnes (la capacité de la
salle de réunion) y ont assisté.
Le contenu, sous forme powerpoint, est
inclus dans le CD Rom distribué à Alger.
Un texte plus détaillé est mis à disposition des lecteurs dans la revue « IA
Compass n°6 » de septembre 2012 (pp.
22-30), en accès libre (depuis le n°3), sur
le site suivant de l’IIA Belgique :
http://www.iiabel.be/Default.aspx?
PageName=M3_IIABELMagazine&M
enuGroupId=4&MenuItemId=188
T. Capurso, délégué de l’IIA Belgique auprès de l’UFAI.
IIA-Burundi :
Le 30 Juillet 2012, l’Institut des Auditeurs
Internes du Burundi (IIA/Burundi) a organisé un colloque portant sur «l’audit
interne et les enjeux de gouvernance au
Burundi ». Cet événement, qui a réuni 82
participants venus de différentes organisations, s’est tenu dans les enceintes
du ROCA Golf Hotel de Bujumbura.
Le colloque a commencé avec un mot
d’accueil du Vice Président de l’IIA
Burundi, M. Ferdinand Ndayizigiye, qui
a pris la parole pour souhaiter la bienvenue aux participants. Il a aussi remercié
Monsieur Phil Tarling, Chairman de IIA
Global de sa visite. Il a ensuite parlé de
l’historique et réalisations de IIA Burundi. Il a enfin remercié ceux qui ont financièrement et techniquement appuyé IIA
Burundi pour que le colloque soit une
réussite.
Les travaux dudit colloque ont été
solennellement ouverts et rehaussés
par la présence du Ministre Burundais
des Finances et de la Planification du
Développement Economique, Monsieur Tabou Abdallah MANIRAKIZA.
Dans son mot liminaire, il a souhaité
une chaleureuse bienvenue, en son
nom et au nom du Gouvernement du
Burundi, au Chairman de l’ « Institute
of Internal Audit Global ».
Avant de terminer son propos, le Ministre a rappelé que l’audit interne, dont
l’IIA Burundi faisait la promotion, était
non seulement un outil d’importance
majeure au niveau microéconomique
des entités économiques prises individuellement, mais aussi et surtout
au niveau macroéconomique pris au
niveau national. C’est dans cet esprit que
le Gouvernement du Burundi a institué
et redynamisé l’Inspection Générale de
l’Etat. Cette dernière ayant pour rôle et
objectif principal de veiller au respect,
au renforcement et à la protection de
la bonne gouvernance au Burundi. Il a
enfin rassuré que l’action, tant de l’IIA
Burundi que de l’IIA Global, s’inscrit dans
cette politique de Bonne Gouvernance,
et que le Burundi ne ménagerait aucun
effort pour la soutenir et l’encourager.
Les participants ont suivi avec intérêt la
présentation de Phil Tarling : ‘Advancing Good Governance through Professional Internal Auditing’ qui a traité des
différents changements dynamiques
qui se sont opérés dans le domaine de
l’audit interne au cours des 10 dernières
années. A la fin de cette période qui
coïncide avec la crise financière, il a été
révélé que la gouvernance des entreprises avait des lacunes très sérieuses.
La question était de savoir ce qu’il fallait
faire pour remédier à la situation.
1. Améliorer l’attention qu’on apporte
à la gestion et à la gouvernance ;
2. Mener un plan d’audit plus flexible
et dynamique ;
3. Développer une vision stratégique
pour un audit interne ;
4. Suivre, insister et donner un rapport
sur la valeur de l’audit interne ;
5. Renforcer les relations et communications du comité d’audit ;
6. Voir la conformité des normes internationales de l’IIA comme obligatoire et non facultative ;
7. Acquérir et développer de meilleurs
talents ;
8. Améliorer la formation pour les activités d’audit interne ;
9. Tirer parti de l’élargissement de
l’adhésion des prestataires de services ;
10.Intensifier votre utilisation de la
technologie et des outils d’audit.
L’orateur a alors insisté sur une
bonne communication, ainsi que
les différents moyens de communication dont les réseaux sociaux.
Le deuxième orateur, Ambassadeur
Germain Herman NKESHIMANA,
a d’abord présenté l’organisation de
l’Inspection Générale de l’Etat (IGE)
et a développé son thème portant
sur l’importance du contrôle interne
dans l’Administration Publique, le
cadre juridique du contrôle interne
de l’Administration Publique burundaise et l’état des lieux du contrôle interne dans l’Administration
Publique burundaise;
Le 3ème orateur, Dr Charles KABWIGIRI, a exposé sur « l’apport de
l’audit interne dans la performance
des organisations au Burundi ».
Il estime que les relations entre
l’audit interne et la performance des
organisations apparaissent
déjà
à partir de la définition que l’IIA
donne à l’audit interne.
Son exposé s’est donc articulé autour :
Il a insisté sur le rôle accru du Comité
d’audit et du conseil d’administration :
le nouvel ordre est entrain de créer de
nouvelles attentes pour l’audit interne.
Des principaux risques d’affaires ont été
identifiés en 2011, tandis que quelques
impératifs ont été repérés pour mieux
opérer un changement :
24
- Des relations entre l’audit interne, le
système de contrôle interne et la performance ;
- Des relations entre l’audit interne, la
gouvernance d’entreprise et la performance ;
- De l’état des lieux de l’audit interne
dans les organisations burundaises.
Partant de la définition de l’audit interne et des résultats de quelques recherches scientifiques antérieures,
il a montré que, d’une part, un bon
fonctionnement de l’audit interne assure l’efficacité du système de contrôle interne en identifiant les forces
et les faiblesses de ce dernier et en
proposant
des
recommandations
dont la mise en application débouche
sur l’amélioration de la performance.
D’autre part, il a montré que la qualité
de l’audit interne conditionne celle
de la gouvernance d’entreprise et que
celle-ci est l’un des déterminants de la
performance des organisations. Il en a
conclu que l’audit interne exerce une
influence positive sur la performance
en passant par l’amélioration du système de contrôle interne et de la gouvernance d’entreprise.
S’agissant de l’état des lieux de l’audit
interne dans les organisations burundaises, l’orateur a fait remarquer que
l’audit interne est une fonction récente
qui n’est pas encore suffisamment implantée dans différentes organisations
et dont le rôle n’est pas encore correctement perçu par certains dirigeants qui
le réduisent à une simple inspection. Au
niveau des banques et établissements
financiers, la situation est cependant
meilleure, car l’audit interne est formellement exigé par la loi bancaire de 2003.
Il en est de même le secteur des assurances, où l’audit interne est exigé par
la loi sur les assurances (du 29/11/2002),
même s’il n’y est pas encore très développé. Il a conclu en signalant que
l’audit interne est l’un des facteurs clés
de succès d’une organisation qui se
veut performante.
Les trois conférenciers se sont ensuite
constitués en panel pour répondre
aux différentes questions des participants, une séance qui a été très riche
et animée.
M. Phil Tarling saluant M. Ferdinand Ndayizigiye Vice- Président de l`IIA Burundi
en présence de Benjamin Rufagari
M. Ferdinand Ndayizigiye Vice-Président de l`IIA Burundi, le Ministre des
Finances et de la Planification du Développement Economique et M. Phil Tarling
Conférence de Presse aux médias
locaux
Le colloque a été clôturé par un point
de presse accordé aux médias burundais.
25
ASAI (Suisse) :
IIA-Canada :
Conférence nationale de IIA Canada
Changement à la tête de l’Association
2012 : l’innovation au rendez-vous !
Suisse de l’Audit Interne.
Du 23 au 26 septembre 2012, Montréal
a été l’hôte de la Conférence nationale
de l’Institut des auditeurs internes du
Canada (IIA Canada) qui a rassemblé
plus de 500 professionnels. Ayant pour
thème « Curiosité + Créativité = Succès »,
cet événement a offert une programmation bilingue de plus de 50 ateliers permettant aux auditeurs de rester à l’affût
Grâce à son expérience de plus de 16
des nouveautés dans leur domaine
années passées dans l’audit interne et à
d’expertise.
ses connaissances et son réseau tant au
sein de l’IIA que dans le monde francoPour la deuxième fois en cinq ans, la
phone, Denis Neukomm aura comme
Conférence se tenait dans la province
mission de mettre en œuvre la nouvelle
de Québec, après avoir connu un succès
stratégie de l’institut élaborée au début
dans la ville de Québec, en 2009.
de 2013. Il s’agit à la fois de consolider la
structure et les services de l’ASAI et de
développer la présence et les intérêts de
la profession auprès des diverses parties
prenantes.
L’actuel directeur de l’ASAI, Markus
Mayer quitte sa fonction au 31 mars 2013
pour reprendre la direction de l’audit
interne de l’entreprise Barry Callebaut.
Pour le remplacer, le comité de l’ASAI
a choisi Denis Neukomm, Président de
l’UFAI (2008-2012).
Quelques moments de
la conférence :
L’ASAI a été créée en 1980 et compte
près de 2300 membres. Ce n’est toutefois qu’en 2008 qu’elle est devenue complètement autonome de la chambre fiduciaire suisse.
La formation CIA a explosé ces dernières années et le nombre d’auditeurs
certifiés CIA à fin 2012 était de 759. L’ASAI
offre des formations en en trois langues :
allemand, français et anglais.
Association Suisse d’Audit Interne
Les coprésidents d’IIA 2012 étaient
Messieurs Roger Martel et Alphonse
Gallucio dernier avait été président
d’une Conférence internationale au Canada en 1999 et a fait partie du Comité de
conférence internationale de l’IIA pendant plusieurs années.
Le site web de la Conférence est toujours en ligne si vous souhaitez consulter les ateliers et présentations offertes
www.iia2012montreal.com
Co-Présidents Roger Martel et Alphonse
Galluccio lors du Gala
Michael Ferguson, vérificateur général
du Canada
Parmi le groupe (droite à gauche) :
1. Phil Tarling (Président de l’IIA)
2. Denis Bergevin (Cowater International)
3. Mireille Harnois (nouvelle Présidente
de l’UFAI)
4. Brigitte Samson (membre du Conseil
de IIA Canada)
5. Sheila Smigarowski (nouvelle Présidente IIA Canada)
6. Valérie Dion (VP Section Québec).
26
Premier Colloque Maghrébin des Instituts d’Audit Interne
Où ? Casablanca (Maroc)
Quand ? les 9 et 10 mai 2013
Conférence Internationale de l’IIA
Où ? Orlando (Etats-Unis)
Quand ? du 14 au 17 juillet 2013
ÉDITEUR
UFAI Union Francophone de l’audit interne
98 bis, bld Haussmann 75008 Paris (France)
WWW.UFAI.org
________________________________________
Directeur de la publication
Mireille Harnois, Présidente de lUFAI
________________________________________
Responsable de la publication
Nourdine Khatal
_______________________________________
Maquette: Philip Mariscal
[email protected]
Newsletter électronique
N° octobre 2012-avril2013
Diffusion gratuite pour les adhérents des associations membres de l’UFAI

"L`auditeur francophone" N°11x

Transcription

Documents pareils

Fiche métier Auditeur

HOTEL RAS EL AIN TOZEUR a été auditée par BUREAU VERITAS

Energies POSITIF_Presentation Résidence du Val de Marne

FICHE ALLER VERS.pub

inspecteur general du holding d`amenagement al omrane

Master Management des Systèmes d`Information

AUDIT DE PROJET ET IMPLANTATION DU CONTRÔLE INTERNE

audit de votre systeme informatique reseau - securite

Axes Conseil Mini Audit Systèmes d`information

consulter le CV - La Bourse de compétences du CJEC