PRISE

DE
POSITION

LURBANISME DU
CONTRLE INTERNE :

Comment en amliorer
lefficacit ?
Quelle place pour laudit
interne ?
 Sommaire

Remerciements ........................................................................................................ 2

Avant-propos ........................................................................................................... 3

1. Le cadre de rfrence du contrle interne de lAMF ..................................... 5

2. Lurbanisme du contrle interne tel quil se pratique en France en 2008 ... 7

2.1. Des activits de contrle clairement identifies dans une charte de
contrle interne ........................................................................................ 7
2.2. La participation de tous les dpartements et entits lauto-valuation
du contrle interne ................................................................................... 8
2.3. Un rle de support au contrle interne exerc de plus en plus par
les services fonctionnels .......................................................................... 8
2.4. Un rle de supervision dvolu aux services fonctionnels ........................ 11
2.5. Des structures et des modalits de management des risques en fort
dveloppement ......................................................................................... 12
2.6. Le rle accru des animateurs du contrle interne au sein des entits ...... 13
2.7. Une fonction daudit interne charge dvaluer lensemble des systmes
de contrle interne et qui sait se doter dexperts pour aborder les
activits de contrle les plus techniques .................................................. 14

3. Points damlioration et recommandations................................................... 17

3.1. Le rle de surveillance du conseil dadministration ................................ 17
3.2. La responsabilit oprationnelle de la direction gnrale ........................ 18
3.3. La coordination des acteurs ..................................................................... 18
3.4. Lindpendance de laudit interne ............................................................ 19
 Prise de position LUrbanisme du contrle interne

RemeRciements

LIFACI remercie tous les acteurs de cette prise de position et en particulier Denis Fabre, ancien
directeur de laudit interne du Groupe Lafarge, qui a enqut pendant plusieurs mois sur les bonnes
pratiques de contrle interne de Groupes industriels franais et qui, en collaboration troite avec
Louis Vaurs, dlgu gnral de lIFACI, a fortement contribu la mise au point du texte de la prise
de position approuve par le Conseil le 9 septembre 2008.

Claude Viet, Prsident de lIFACI

Liste des administrateurs au 9 septembre 2008 :

Prsident Claude Viet La Poste
Vice-Prsident Laurent Arnaudo Alcatel-Lucent
Trsorier Pierre Poulain Banque de France
Autres membres du Conseil
Claude Cargou Governis
Jean-Michel Chaplain Croix Rouge Franaise
Philippe Degrave Schneider-Electric
Philippe Dumont Groupe Crdit Agricole
Christian Fontanel Groupe EDF
Frdric Geoffroy Socit Gnrale Corporate Investment Banking
Jean-Michel Larronde Caisse dEpargne Aquitaine Poitou Charentes
Jacques Ortet Ministre du Budget, des Comptes Publics et de la Fonction
Publique DGFIP
Jean-Yves Plisson AGF
Jean-Franois Sautin Lafarge
Pierre Schneider BNP Paribas
Isabelle Valeau Groupe Agrica

2 IFACI
Prise de position LUrbanisme du contrle interne

AvAnt-pRopos

Llaboration par un groupe de Place mandat par lAMF, dun Cadre de rfrence de contrle
interne dont elle a recommand lapplication par les socits cotes, compter du 1er janvier 2007, a
constitu un progrs considrable dans le dveloppement des concepts et des pratiques du contrle
interne en France.

Certes, des amliorations importantes taient dj perceptibles dans la qualit des dbats qui ont
accompagn le dploiement de la loi Sarbanes Oxley (SOX) de juillet 2002, par les entreprises fran-
aises cotes aux Etats-Unis. Cependant, cette loi et les textes qui lont laccompagne ntaient appli-
cables qu une poigne de groupes en France. Ce sont vritablement la Loi de Scurit Financire
(LSF) daot 2003, le Cadre de rfrence et les recommandations de lAMF qui ont fait davantage
prendre conscience la plupart des acteurs du tissu industriel et commercial franais, du rle minent
du contrle interne pour amliorer les performances des entreprises tout en leur procurant plus de
scurit. Ainsi nombre dentreprises petites ou grandes ont dcid de structurer en profondeur leur
contrle interne considr plus comme un facteur essentiel de la matrise des risques et de performance
durable que comme une contrainte lgale et rglementaire. Un mouvement similaire sobserve dans
les administrations et organismes du secteur public.

LIFACI, qui a t associ troitement llaboration du Cadre de rfrence, a souhait pousser plus
avant sa rflexion sur le rle des diffrents acteurs qui participent au fonctionnement du contrle
interne et qui constituent lurbanisme du contrle interne . Il en est rsult la prsente prise de posi-
tion.

IFACI 3
 Prise de position LUrbanisme du contrle interne

4 IFACI
Prise de position LUrbanisme du contrle interne

1. Le cAdRe de RfRence du contRLe inteRne de LAmf

Dfinition :

Le contrle interne est un dispositif de la socit, dfini et mis en uvre sous sa responsabilit. Il comprend
un ensemble de moyens, de comportements, de procdures et dactions adapts aux caractristiques propres
de chaque socit qui :
contribue la matrise de ses activits, lefficacit de ses oprations et lutilisation efficiente de ses
ressources, et
doit lui permettre de prendre en compte de manire approprie les risques significatifs, quils soient
oprationnels, financiers ou de conformit.

Le dispositif vise plus particulirement assurer :

a) la conformit aux lois et rglements ;
b) lapplication des instructions et des orientations fixes par la direction gnrale ou le directoire ;
c) le bon fonctionnement des processus internes de la socit, notamment ceux concourant la sauve-
garde de ses actifs ;
d) la fiabilit des informations financires.

Le contrle interne ne se limite donc pas un ensemble de procdures ni aux seuls processus comptables et
financiers.
Il est dautant plus pertinent quil est fond sur les rgles de conduite et dintgrit portes par les organes de
gouvernance et communiques tous les collaborateurs. Il ne saurait en effet se rduire un dispositif pure-
ment formel en marge duquel pourraient survenir des manquements graves lthique des affaires.
Toutefois, le contrle interne ne peut fournir une garantie absolue que les objectifs de la socit seront
atteints.

Ainsi dfini, le contrle interne est un dispositif dynamique, un systme de management global qui mobilise
des degrs divers tous les acteurs de lentreprise :

Le contrle interne est un systme de management qui implique de faon trs intgre tous les acteurs
de lentreprise, commencer par la direction gnrale et les instances dirigeantes charges de le dfinir,
de limpulser, de le dployer et de le contrler ; sans leur forte implication et une communication mat-
rialisant leur soutien, lappropriation du dispositif par les autres acteurs ne saurait se raliser pleine-
ment.

Lefficacit du contrle interne va dpendre ensuite de la manire avec laquelle les oprationnels, tous
niveaux, excutent leur travail avec conscience, implication, sens de la qualit et de lintrt de lentre-
prise, thique et discipline.

Les fonctions supports contribuent la diffusion du dispositif dans lorganisation, en apportant leur
savoir-faire et leurs connaissances dexperts la conception et la mise en uvre des mthodes, proc-
dures, bonnes pratiques les mieux mme de permettre lentreprise datteindre durablement ses diff-
rentes catgories dobjectifs.

Enfin, les fonctions plus spcifiquement dotes dune autorit de contrle et dune mission dvaluation
indpendante sont au centre du dispositif et jouent un rle cl pour donner lassurance raisonnable
de son bon fonctionnement, et faire toute proposition pour sa constante amlioration.

IFACI 5
 Prise de position LUrbanisme du contrle interne

Composantes :

Cinq composantes troitement lies caractrisent le dispositif du contrle interne :

1. une organisation comportant une dfinition claire des responsabilits, disposant des ressources et des
comptences adquates et sappuyant sur des procdures, des systmes dinformation, des outils et des
pratiques appropris ;
2. la diffusion en interne dinformations pertinentes, fiables, dont la connaissance permet chacun
dexercer ses responsabilits ;
3. un systme visant recenser et analyser les principaux risques identifiables au regard des objectifs de
la socit et sassurer de lexistence de procdures de gestion de ces risques ;
4. des activits de contrle proportionnes aux enjeux propres chaque processus, et conues pour
rduire les risques susceptibles daffecter la ralisation des objectifs de la socit ;
5. une surveillance permanente du dispositif de contrle interne ainsi quun examen rgulier de son fonc-
tionnement .

Il appartient la direction gnrale ou au directoire de rendre compte au Conseil (ou au comit daudit
lorsquil existe) des caractristiques essentielles du dispositif du contrle interne et de linformer des princi-
paux rsultats des surveillances et examens exercs .

6 IFACI
Prise de position LUrbanisme du contrle interne

2. LuRbAnisme du contRLe inteRne teL quiL se pRsente

en fRAnce en 2008

Lorsque lon quitte la sphre des concepts pour aborder les questions de mise en uvre, le pragmatisme est de
rigueur : il existe autant de modalits dexcution que dentreprises ou dorganisations et de mtiers. Tout est
affaire de circonstances, de secteur dactivit, de culture dentreprise, dhommes. Il nexiste pas une, et une
seule, manire de faire. Nous prsentons donc, ci-aprs, des modalits de mise en uvre rencontres
aujourdhui dans des entreprises performantes, en insistant sur le fait quil ne sagit que dexemples parmi
lesquels chacun pourra puiser les pratiques qui conviennent son propre contexte.

2.1. Des ACTiViTs De ConTRLe CLAiReMenT iDenTiFies DAns une ChARTe De

ConTRLe inTeRne

Nous trouvons de plus en plus frquemment, dans les grands groupes, une description claire de lorganisation
des activits de contrle et de la place de chacun des acteurs dans le dispositif gnral.

Ainsi, titre dexemple, nous trouvons des systmes de contrle 4 niveaux :

niveau 1 : A ce niveau de base se situent tous les employs, responsables de leur propre auto-contrle,
et leur hirarchie charge de la supervision gnrale des modes de fonctionnement et des rsultats des
collaborateurs. On y trouve galement les activits de contrle automatises.

niveau 2 : Cest celui des services fonctionnels responsables de domaines dexpertise. Eu gard juste-
ment leurs comptences de spcialistes, ils exercent une surveillance forte, comme on le prcisera plus
loin, sur toutes les activits de lentreprise, dans le domaine de spcialit qui leur a t confi. Ils contri-
buent galement la remonte dinformations ncessaires la cartographie des risques et la prpara-
tion du plan daudit interne.

niveau 3 : Cest le niveau des units de contrle responsables de lanimation permanente et de la

qualit du contrle interne au sein de leur entit.

niveau 4 : Cest le niveau de laudit interne (audit interne mtier, audit interne rgion et/ou audit
interne groupe) charg dvaluer la pertinence et lefficacit de lensemble de ce dispositif et de sassu-
rer que tous les acteurs jouent effectivement leur partition correctement et que les tests le confirment.

Il existe galement assez frquemment des structures 3 niveaux par regroupement par exemple des niveaux
2 et 3.

Dans le secteur bancaire on distingue dune part le contrle permanent qui regroupe le contrle effectu par les
oprateurs eux-mmes, le contrle hirarchique, les contrles automatiss, ainsi que les fonctions spcialises
qui participent aux dcisions (risque, conformit, etc.), dautre part le contrle priodique effectu par laudit
interne/inspection gnrale.

Au-del de ces niveaux de contrle, le systme est pilot par la direction gnrale et le comit excutif sous la
surveillance du comit daudit et/ou du Conseil. Il bnficie galement de lapport des commissaires aux
comptes et des rgulateurs.

IFACI 7
 Prise de position LUrbanisme du contrle interne

2.2. LA PARTiCiPATion De Tous Les DPARTeMenTs eT enTiTs LAuTo-

VALuATion Du ConTRLe inTeRne

Les oprations dauto-valuation se sont peu peu dveloppes au sein des organisations, quelles soient ou
non assistes, contrles, testes, compares, linitiative des responsables fonctionnels ou oprationnels ou
bien des animateurs de contrle interne ou des auditeurs internes.

Ce qui est souligner aujourdhui, cest lampleur et le professionnalisme attachs de telles dmarches, et
leur ambition de donner une mesure globale et fiable du degr de matrise des risques cls de lentreprise.

Nous signalons ci-aprs quelques volutions intressantes :

Formalisation de bases de connaissances

Les manuels de contrle interne ont cd la place dans certaines structures aux bases de connais-
sance informatises, places sous la responsabilit des services fonctionnels. Ces bases incluent
normes et procdures obligatoires ou recommandes, et un ensemble parfois considrable de bonnes
pratiques et dexprience capitalise, ainsi que de nombreux outils de mise en uvre. Ces boites outils
contiennent frquemment des outils dauto-valuation diffuss des fins pdagogiques aussi bien que
dassurance.

Affirmation du principe de responsabilit des entits

Il est gnralement admis dsormais que lexercice de la responsabilit des directeurs dentits opra-
tionnelles autant que fonctionnelles sur leur contrle interne implique une srie de diligences incontour-
nables de mise en uvre et dauto-contrle. Ces diligences doivent tre traables et auditables.
Lun des changements importants que lon a pu observer est le fait que ces managers admettent que leur
responsabilit inclut de tester aussi bien que de faire tester la ralit de certaines affirmations cls.

Auto-valuation priodique obligatoire, sous le contrle de la direction de laudit interne

Toutes les entits dune organisation sont, dans certains cas, invites sauto-valuer formellement en
rfrence une grille dont une partie est standard et une partie adapte leurs risques propres, et
sengager sur les rsultats et les actions correctives correspondantes.
La vrification du processus et des rsultats par laudit interne, sur la base dun plan pluriannuel, est une
invitation forte, pour tous, effectuer leur auto valuation avec sincrit et transparence, et confre aux
dirigeants un niveau dassurance globale probablement plus satisfaisante encore quune simple addition
de missions daudit traditionnel.

2.3. un RLe De suPPoRT Au ConTRLe inTeRne exeRC De PLus en PLus PAR Les
seRViCes FonCTionneLs

Les services fonctionnels jouent un rle particulier, parfois considrable, dans le dispositif de contrle interne,
soit du fait quils ont reu une autorit et un pouvoir de contrle sur certaines oprations ou certains processus,
soit du fait de lassistance effective, sur le terrain, quils sont en mesure dapporter aux diffrentes entits pour
identifier, comprendre, valuer les principaux risques affrents leur domaine, et les aider concevoir les
contrles techniques les plus pertinents.

8 IFACI
Prise de position LUrbanisme du contrle interne

Qualit

Comme nous lavons voqu dans une prcdente prise de position (mai 2004), le systme de manage-
ment de la qualit (SMQ) est proche du contrle interne. La finalit dune direction de la qualit est (i)
dlaborer un SMQ efficace pour fournir aux oprationnels des rfrentiels (description des processus,
des procdures et des rgles respecter) ; (ii) daider leur application et (iii) de garantir la conformit
de ce SMQ la norme ISO, par la conduite daudits qualit.

Les dmarches de la direction qualit sont trs proches de celles des contrleurs et des auditeurs internes
et, dans la pratique, les qualiticiens sont souvent trs prsents sur le terrain, en particulier en usine et
dans les activits commerciales et logistiques, et nous voyons nombre de responsables de contrle
interne ou dauditeurs changer systmatiquement avec eux sur les dispositifs de contrle et les rsultats
des audits.

Contrle de gestion

Dans un grand nombre de groupes, les contrleurs de gestion ont t, et sont trs souvent encore, des
gnralistes en matire de relais du management local. Cest dire quils peuvent cumuler leur fonction
premire de responsables gestion (analyse des rsultats et des cots, comptabilit analytique, contrle
budgtaire, contrle financier des projets et investissements), avec des rles tels que : responsable local
de contrle interne, correspondant du risk manager, responsable performances.

Bien souvent, pour des raisons videntes de cots, il nest pas possible de doter chaque entit, filiale ou
tablissement local, dun correspondant distinct pour chacune de ces grandes fonctions groupe et lon
voit les contrleurs de gestion cumuler ces divers rles, en assistance au responsable de lentit.

Par ailleurs, leur responsabilit premire est en elle-mme essentielle pour la qualit du contrle interne,
en fournissant non seulement un cadre budgtaire mais des tableaux de bord et indicateurs cls sur la
marche conomique de lentit et de ses processus principaux, ainsi quune capacit dalerte trs cou-
te en cas dcarts significatifs.

informatique

Les applications informatiques sont autant dlments extrmement structurants pour les procdures de
lentreprise. Les processus cls font lobjet dune analyse pousse par le service des systmes dinfor-
mation avant dtre informatiss ; ils sont ensuite stabiliss dans les ERP et les autres logiciels applica-
tifs.

Par ailleurs, les directions informatiques disposent (i) dun savoir-faire unique pour lanalyse des orga-
nisations et de leurs processus, (ii) de ressources de support aux oprations, et (iii) de relles comp-
tences dans de nombreuses activits de contrle. Elles sont donc susceptibles dapporter une vraie
valeur lamlioration du contrle interne.

En mme temps, et cest le revers de la mdaille, il est frquent que linformatique constitue galement
lun des risques majeurs de lentreprise, du fait de la puissance des applications et de leur complexit
auxquelles sajoutent parfois des budgets et des procdures de matrise sous-dimensionns. Nous
constatons que ce risque est de mieux en mieux pris en charge, avec la mise en place de plans de conti-
nuit de lexploitation et de nombreux contrles standards ou spcifiques, ainsi que la cration de
cellules daudit technique et /ou la sous traitance de missions ponctuelles daudit informatique.

IFACI 9
 Prise de position LUrbanisme du contrle interne

Conseil interne

Certaines entreprises se sont dotes de fonctions de conseil interne en organisation, constitues de

cadres haut potentiel recruts lintrieur de lentreprise et/ou dans les cabinets de conseil.
Lexistence de telles fonctions permet souvent de rgler rapidement des problmes dlicats que les
services concerns ne savent pas aborder avec le recul et les comptences ncessaires.

Compliance / Conformit

Selon le rglement 97/02 modifi, les banques doivent dsigner un responsable charg de veiller la
cohrence et lefficacit du contrle du risque de non-conformit . Il sagit du risque de sanction
judiciaire, administrative ou disciplinaire, de perte financire, datteinte la rputation que fait peser sur
un tablissement de crdit le non respect des dispositions lgislatives et rglementaires propres aux acti-
vits bancaires et financires, des normes professionnelles et dontologiques, ou encore dorientation de
ses organes dirigeants.

Elles doivent par ailleurs prvoir les procdures spcifiques dexamen de la conformit, notamment les
procdures dapprobation pralable systmatique pour les produits nouveaux ou pour les transforma-
tions significatives opres sur les produits prexistants.

Certains groupes industriels sont galement en train dimplanter de telles fonctions, qui participent
galement la formalisation et la diffusion des codes dthique, codes dontologiques, principes
dactions, systmes de valeur.

Direction juridique

Les directions juridiques ont un rle majeur pour protger lentreprise civilement, pnalement et mora-
lement, contre les risques lis lun des cinq objectifs de contrle vis par le Cadre de rfrence : la
conformit aux lois et rglementations.

De plus en plus, la fonction juridique est appele accompagner les dirigeants oprationnels et fonc-
tionnels dans leurs projets et leurs activits et leur fournir leurs conseils. Compte tenu de leur rattache-
ment frquent au plus haut niveau de la hirarchie de lentreprise, elles ont galement une obligation de
supervision et bnficient dune forte dlgation dautorit pour imposer certaines contraintes, dfinir
les interdits, ou alerter les niveaux hirarchiques appropris.

Pour accrotre leur efficacit, comme dans bien dautres fonctions, les juristes se structurent en rseaux
et contribuent lamlioration de lenvironnement de contrle en fournissant des formations, des outils
de mise en uvre, des bases de connaissances, permettant aux responsables de tous niveaux de mieux
intgrer, et plus vite, les rgles lies leurs missions.

En coopration avec les responsables des ressources humaines, ils vont souvent bien au-del du simple
respect de la loi et dveloppent des codes dthique ou de conduite des affaires ou principes dactions
qui tablissent le socle de la culture dentreprise. Ils sont souvent aussi impliqus dans la mise en uvre
des procdures de prvention des fraudes, en coopration avec laudit interne.

Direction des ressources humaines

En matire denvironnement de contrle, les responsables de ressources humaines ont un rle majeur. Il
sagit de mettre en place les principes de base de fonctionnement et dorganisation : dfinition des rles
et responsabilits, fixation dobjectifs et valuation de performances, slection et formation du person-

10 IFACI
Prise de position LUrbanisme du contrle interne

nel, politiques de rmunrations et de sanctions, mesure de satisfaction des quipes, communication

interne.

Il leur incombe surtout de sassurer que les postes cls sont pourvus par des personnes ayant les talents
souhaits et la formation adquate, non seulement au moment de leur nomination mais galement tout
moment. Ils jouent un rle essentiel dans la gestion de carrire des acteurs du contrle interne en valo-
risant leur parcours professionnel de leur passage par les activits dorganisation et danimation du
contrle interne.

Certains rapports daudit interne peuvent leur tre utilement adresss et comments.

Direction des performances

Au cours des dernires annes, nous avons vu de nombreux groupes crer un nouveau type de fonction
support : les directions de performances. Ces fonctions trs spcialises - performances commerciales,
logistiques, techniques, dveloppement durable, etc. - ont pour mission essentielle dacclrer forte-
ment lamlioration des performances et des rsultats, en identifiant, ventuellement avec des consul-
tants externes, les principaux enjeux et leviers, et les meilleures pratiques de lentreprise ou du march
observes ailleurs.

Les enjeux de tels programmes sont tellement importants et oprationnels quils font ncessairement
lobjet de toutes les attentions de laudit interne.

Direction de la scurit

Lexistence dune direction de la sret ou de la scurit (certains lappelleront encore direction des
contrles gnraux) peut savrer un rel atout. Dote de professionnels des investigations en prsence
de fraude ou dindices de fraude, une telle fonction permet dabord datteindre efficacement une catgo-
rie importante dobjectifs mais galement de dcharger laudit interne de missions qui ne sont pas
toujours compatibles avec ses savoir-faire et son image de partenaire des managers. Nous ne parlons pas
bien entendu, des systmes de prvention et dissuasion sur lesquels les auditeurs internes ont toutes les
comptences et gardent leur lgitimit.

2.4. un RLe De suPeRVision DVoLu Aux seRViCes FonCTionneLs

Les missions des services fonctionnels sont souvent analyses en 4 grandes familles :

missions oprationnelles : il convient dassurer des activits oprationnelles, dans lintrt de

lensemble du groupe. Exemples : produire les comptes consolids, raliser une augmentation de capi-
tal, effectuer les achats dnergie ou de matires premires pour toutes les filiales, etc. ;

missions normatives et rgaliennes : proposer les politiques du groupe, par domaines dactivit,
ainsi que les analyses de risque correspondantes et les meilleures procdures de contrle obligatoires ou
recommandes, dvelopper les meilleures pratiques et les changes, benchmarker en externe et en
interne ;

missions de conseil et dassistance : offrir ses services aux units qui en ont besoin, pour mettre en
place certaines procdures, tableaux de bord ou autres systmes ;

IFACI 11
 Prise de position LUrbanisme du contrle interne

missions de supervision : cette 4me grande famille de missions qui consiste observer et rendre
compte du fonctionnement effectif des processus dont ils ont la charge dans les diverses units de
lentreprise ou du groupe sest considrablement dveloppe depuis quelques annes avec laffirmation
dun fort degr de responsabilit des services fonctionnels sur les rsultats et les performances des
processus.

Il est ncessaire mais nest plus suffisant dsormais, pour un responsable fonctionnel, de dire la norme, la
bonne pratique, daider la mise en place. Il devient essentiel de sassurer du bon fonctionnement des proces-
sus et donc dexercer une forte activit de supervision, en utilisant tous les moyens appropris disponibles tels
que des oprations dauto valuation, la cration, dans certain cas, dune cellule d audit technique , une
prsence accrue sur le terrain ou toute autre action adquate.

2.5. Des sTRuCTuRes eT Des MoDALiTs De MAnAgeMenT Des RisQues en FoRT

DVeLoPPeMenT

Toutes les socits industrielles ne se sont pas dotes de direction ou service de gestion ou de contrle des
risques. Nanmoins un bon nombre dentre elles ont mis en place un processus de cartographie incluant, en
tout ou partie les tapes suivantes du processus : identification des risques, valuation et dfinition des priori-
ts, recherche de stratgies de gestion, laboration des plans dactions, dfinition de procdures de suivi de
mise en uvre, contrle et pilotage.

Ces tapes (ou plutt les premires dentre elles) peuvent tre conduites soit partir de la seule impulsion des
principaux dirigeants oprationnels et fonctionnels (approche top down ), soit partir de la remonte dun
ensemble dinformations rsultant dun processus similaire dans toutes les units oprationnelles et fonction-
nelles, ou simplement dans un chantillon dentre elles (approche bottom up ). Certains groupes ont orga-
nis mthodiquement la confrontation ou la combinaison de ces deux formes de traitement des informations
pour tablir leur cartographie de synthse, prsente pour validation au comit excutif et, pour information,
au comit daudit ou au conseil dadministration ou de surveillance. Bien souvent cest laudit interne central
qui a t linitiative de ltablissement de cette cartographie des risques.

Pour un certain nombre de groupes, la runion rgulire dun comit des risques, charg de lactualisation
permanente de la cartographie et du suivi des plans daction, permet de garder au processus son caractre
continu.

Dans certains cas, on observe que le processus est focalis sur les risques lis au reporting financier avec
laccent mis sur les procdures dlaboration de linformation publie et dvaluation des provisions pour
risques au bilan, et les procdures de matrise des risques de fraudes.

Dans dautres cas, le processus est galement conu pour permettre aux principaux dirigeants et managers
doptimiser le pilotage de leur activit et la gestion de leurs ressources, auquel cas le processus prend en
compte tous les risques.

Une telle gestion formelle des risques peut tre limite aux risques majeurs pilots par le comit excutif, ou
bien constituer une approche mthodologique obligatoire pour toutes les units oprationnelles.

12 IFACI
Prise de position LUrbanisme du contrle interne

2.6. Le RLe ACCRu Des AniMATeuRs De ConTRLe inTeRne Au sein Des enTiTs

Dans le secteur bancaire, depuis 2005, il est distingu :

- Le contrle permanent de la conformit, de la scurit et de la validation des oprations ralises, et du
respect des autres diligences lies la surveillance des risques de toute nature associs aux oprations,
et

- le contrle priodique (ou audit interne) de la conformit des oprations, du niveau des risques effecti-
vement encourus, du respect des procdures, de lefficacit et du caractre appropri des dispositifs
mentionns.

Dans lindustrie et le commerce, le terme de contrle priodique nest pas usit pour dsigner laudit interne ;
et le terme de contrle permanent ne correspond que partiellement lensemble des autres lments de
contrle du COSO ou du Cadre de rfrence.

Sil est vrai que certaines entreprises ont mis en place depuis longtemps des fonctions de contrle interne, il
faut reconnatre que leur gnralisation en cours est rcente, et quil est pris grand soin de prciser que leur
rle est de coordonner et danimer, les responsables de contrle interne restant les oprationnels eux-mmes.

Lide matresse qui prside la cration de fonctions danimateur ou coordinateur de contrle interne est
laffirmation que tous les responsables oprationnels sont responsables de leur systme de contrle
interne/matrise des risques. Pour leur permettre toutefois dassumer efficacement de telles responsabilits, les
directeurs de mtiers, divisions, rgions, sont parfois amens squiper de spcialistes ddis. De telles
ressources peuvent tre rattaches directement chaque direction mais elles peuvent aussi trs valablement
tre partages. Ceci dpend de la configuration et de la culture des organisations.

Les animateurs ou coordinateurs de contrle interne peuvent avoir tout ou partie des attributions suivantes,
tant rappel quil nexiste pas de modle unique :

participer la ralisation des analyses de risques dans leurs secteurs ;

participer la recherche des contrles appropris ;

participer la mise en place de tels contrles ;

rdiger ou faire rdiger des manuels de contrle interne standards rendre obligatoires au sein de tout le
groupe ou de mtiers spcifiques ;

faire raliser des auto-valuations ponctuelles ou systmatiques de processus de contrle interne, sur la
base des grilles standard telles que dfinies ci-dessus ;

participer la ralisation de tests de contrle ou la mise en place de programmes de tests raliser par
les oprationnels eux-mmes et leurs quipes ;

raliser des programmes indpendants de tests. De tels programmes portent souvent des noms de
revue ou vrification ou autres, de faon ce quil soit clair que la mission ne peut prtendre
avoir lenvergure et lobjectif dune mission de laudit interne ;

formuler une valuation qualitative ou quantitative du contrle interne dun processus ou sous-proces-
sus ou service, fonction, division, unit oprationnelle ;

IFACI 13
 Prise de position LUrbanisme du contrle interne

rendre compte leur hirarchie, et mettre toutes recommandations damlioration de certaines activi-
ts de contrle ou de tout le processus de contrle interne ;

informer le niveau suprieur de contrle, y compris laudit interne ;

assister laudit interne dans la prparation ou la conduite de ses missions daudit ;

contribuer aux programmes de description, dvaluation ou de certification globale du contrle interne

de lentreprise, tels que SOX, 97-02, LSF, ou autres programmes propres lentreprise.

Il faut reconnatre que le dveloppement de cette fonction a grandement facilit lintervention des services
daudit interne qui peuvent sappuyer sur leurs travaux, en particulier sur les tests de conformit, et se consa-
crer leur mission essentielle, lvaluation de la pertinence des dispositifs et la matrise des risques, et surtout
compter sur eux pour veiller au bon suivi des plans dactions correctives.

Souvent ces rseaux de contrle interne ont t placs sous la supervision du directeur financier, sans doute en
raison des exigences de SOX, la fonction ayant essentiellement une activit de contrle strictement financier.
Dans la mesure o le rle de ces contrleurs volue au-del de lobjectif de sincrit et de fiabilit des infor-
mations financires, un autre type de rattachement devrait pouvoir tre envisag.

2.7. une FonCTion DAuDiT inTeRne ChARge DVALueR LenseMbLe Des

sysTMes De ConTRLe inTeRne eT Qui sAiT se DoTeR DexPeRTs PouR
AboRDeR Les ACTiViTs De ConTRLe Les PLus TeChniQues

evolution du positionnement de lAudit

Au cours des dix dernires annes, les services daudit interne ont considrablement renforc leur rle
et leur positionnement. Ils sont aujourdhui, comme lont rvl les enqutes les plus rcentes, rattachs
le plus souvent la direction gnrale ou un membre du comit excutif agissant pour le compte de la
direction gnrale et non pour le compte de sa propre fonction. Rarement membres du comit excutif,
si ce nest comme membres non dcisionnaires, afin de prserver leur indpendance, les directeurs
daudit interne entretiennent de plus en plus souvent une relation troite avec le comit daudit ou le
conseil dadministration.

Il faut souligner que dans la plupart des groupes, ce sont les directeurs daudit interne eux mmes qui
ont assur la promotion du contrle interne, ainsi que la formation des dirigeants et managers ce
concept. Dans de nombreux cas, ils ont t lorigine de la cration de la fonction gestion et contrle
des risques, qui leur est parfois rattache et il nest pas rare de trouver des directions daudit et de
contrle interne.

Il semble quaujourdhui lensemble des groupes reconnaissent lintrt de disposer dun service dau-
dit interne respectueux des normes internationales de la profession et de son code de dontologie ; et les
directeurs daudit interne sont de plus en plus nombreux avoir pris conscience de lintrt quils
avaient sappuyer sur laspect normatif de leur fonction pour mieux faire connatre le rle quils jouent
au sein de leur organisation. Ceci conduit bon nombre dentre eux communiquer sur leur propre
systme dassurance qualit et notamment sur leur audit de certification.

Enfin, laudit interne est de plus en plus positionn comme partenaire des organes dirigeants pour
valuer les enjeux et les risques les plus importants et les plus complexes, superviser les systmes de

14 IFACI
Prise de position LUrbanisme du contrle interne

contrle interne, fournir des conseils pertinents pour son pilotage et, en consquence, attirer des profils
fort potentiel. Certaines directions daudit interne sont dailleurs clairement devenues des coles de
dirigeants pour leur entreprise.

Principales missions

Dans la grande majorit des groupes, laudit interne :

assure ou participe llaboration de la cartographie des risques et lenrichit des rsultats de ses
missions tout en valuant rgulirement les processus de management des risques mis en uvre par
lorganisation ;

value les dispositifs de contrle interne/matrise des risques des diffrentes entits du groupe, en
incluant dans le primtre de tels dispositifs non seulement les activits de contrle des diverses
fonctions et services de lentit, mais galement ses activits de gestion des risques, de gestion des
informations et communications, ainsi que ses activits de pilotage, y compris les modes de fonc-
tionnement de lanimation du contrle interne et ses activits dauto-valuation ;

value la pertinence et lefficacit oprationnelle des contrles relatifs la fraude ;

value les processus cls de gouvernement dentreprise ;

adresse rgulirement un rapport de synthse la direction gnrale et au comit daudit sil existe,
prsentant ses activits, ses principaux constats, conclusions et recommandations pour amliorer la
conformit aux lois, rgles et politiques, la fiabilit des informations financires, lefficience et
lefficacit des oprations et, dune faon gnrale, la matrise des risques de lentreprise ;

apporte son conseil non seulement au directeur gnral mais galement aux responsables des
grandes entits oprationnelles et grandes fonctions en appui aux rapports de synthse les concer-
nant.

expertise et Audit

Laudit interne est de plus en plus confront des domaines techniques complexes et entend imprative-
ment faire face . A cet effet, plusieurs bonnes pratiques sont utilises :

recrutement de collaborateurs de talent ayant acquis dans lorganisation une grande exprience dans
lun ou plusieurs de ses mtiers ;

recrutement en interne dexperts pointus dans les domaines trs techniques ;

appel des experts extrieurs lentreprise pour complter une quipe daudit sur certains thmes, le
temps dune mission ou dun cycle de missions.

On observe souvent aussi la cration de cellules daudit technique au sein de certaines fonctions telles
que la scurit, lenvironnement ou linformatique On constate que de telles cellules daudit sont
rattaches fonctionnellement laudit interne afin de les faire bnficier de toute lindpendance qui
sied leur responsabilit.

IFACI 15
 Prise de position LUrbanisme du contrle interne

organisation de laudit :

Certains groupes, parmi les plus importants, ont cr des services daudit interne dcentraliss par
branche dactivit (mtier ou division) ou par rgion.

La cration de tels services peut rpondre des proccupations varies telles que :

viter lexistence dquipes centrales trop lourdes ;

rapprocher laudit interne des responsables oprationnels directs et accrotre la ractivit des actions
correctives ;

rpondre des proccupations dordre technique, certains mtiers requrant des activits de contrle
trs pointues techniquement ;

faciliter la solution de problmes de langue ou de recrutement.

Lorsque de tels services rapportent hirarchiquement au directeur gnral de la branche ou de la rgion,

ils rapportent fonctionnellement laudit interne central qui assure la cohrence densemble des
mthodes et des plans daudit, effectue la synthse pour le groupe et ralise les revues qualit de ces
services. Par ailleurs, lexistence de tels services ne constitue pas une restriction la ralisation de
missions directes de laudit interne central et de missions co-sources, lesquelles renforcent la fois
lindpendance de la fonction daudit interne et favorise lchange de bonnes pratiques.

Par ailleurs, mais il sagit l dune configuration diffrente, certains services daudit interne ont dloca-
lis une partie de leurs quipes appeles intervenir de faon prpondrante dans certaines rgions loi-
gnes (Amrique, Asie). Cette logique, qui rpond des questions de personnes, de langues, de cots de
voyage, ne remet pas en cause lindpendance des quipes daudit, diriges totalement par le service
central.

16 IFACI
Prise de position LUrbanisme du contrle interne

3. points dAmLioRAtion et RecommAndAtions

De nombreux progrs ont t raliss par les organisations dans le domaine du contrle interne mais il reste
encore beaucoup faire pour que les systmes en place soient perus comme une condition essentielle de
performance durable des organisations et non comme une contrainte et un simple cot. Pour ce faire, lenga-
gement des organes dirigeants est indispensable, une coordination des acteurs du contrle interne est nces-
saire. En consquence, lIFACI formule ci-aprs quatre groupes de recommandations et sengage les
promouvoir activement.

3.1. Le RLe De suRVeiLLAnCe Du ConseiL DADMinisTRATion

Le conseil dadministration dispose de pouvoirs trs tendus. Il dtermine notamment les orientations de
lactivit de la socit et veille leur mise en uvre. Nanmoins, il ne peut pas et ne doit pas simmiscer dans
la gestion quotidienne qui est laffaire de la direction gnrale et du management. Par contre, il doit sassurer
que lorganisation dispose dun contrle interne efficient lui donnant lassurance raisonnable que ses objectifs
seront atteints.

Compte tenu de lampleur de leurs responsabilits, les Conseils se sont dots de comits spcialiss, en fonc-
tion de leurs objectifs et de circonstances particulires : comit des comptes/comit daudit, comit des nomi-
nations, comit des rmunrations, comit de la gouvernance, comit des risques, comit de la stratgie etc.

Sans doute parce que la loi franaise spcifie que cest le Conseil qui arrte les comptes et en raison de la tech-
nicit de cet acte, le comit des comptes/comit daudit a pendant longtemps focalis ses travaux sur lexamen
des comptes tout en sassurant de la pertinence et de la permanence des mthodes comptables.

Au fil des ans les comits des comptes/comits daudit de certains groupes sont alls bien au-del des risques
comptables et financiers pour sintresser lensemble des risques ainsi quaux systmes de contrle interne.
Cette volution, encore limite dans la pratique, sest normalement retrouve dans la 8me Directive europenne
qui prcise que le comit daudit est notamment charg du suivi de lefficacit des systmes de contrle
interne, daudit interne, le cas chant, et de gestion des risques de la socit .

Recommandation n1

LIFACI recommande :

que les administrateurs membres du comit daudit ou de tout autre comit quivalent disposent du
temps ncessaire pour se faire dcrire en dtail le dispositif de contrle interne et de matrise des
risques, faire les observations qui simposent et en effectuer une surveillance attentive et rgulire ;

que la spcificit du rle de laudit interne, li lensemble des risques de lentreprise, par rapport au
rle du commissaire aux comptes li la fiabilit et la sincrit des comptes, soit mieux prise en
compte ;

quenfin les conditions dchanges entre le prsident du comit daudit et le directeur de laudit interne
soient clarifies et spcifiquement dcrites dans les chartes respectives du comit daudit et de laudit
interne.

IFACI 17
 Prise de position LUrbanisme du contrle interne

3.2. LA ResPonsAbiLiT oPRATionneLLe De LA DiReCTion gnRALe

Il est de la responsabilit premire de la direction gnrale de concevoir les lignes de force du dispositif de
contrle interne et de donner limpulsion et llan indispensables sa mise en uvre. Il lui appartient
galement de se tenir au courant de ses dysfonctionnements et de ses insuffisances, et de veiller lengage-
ment des actions correctives ncessaires.

Recommandation n2

Pour que le dispositif du contrle interne soit bien intgr et assum tous les chelons hirarchiques, lIFACI
recommande :

que la direction gnrale, premier responsable de la stratgie de lentreprise, sapproprie le dispositif de

contrle interne comme un lment essentiel de succs dans la conduite de cette stratgie ;

que la direction gnrale adopte un discours et une attitude dnus dambigut sur limportance quelle
accorde au dispositif du contrle interne et sur sa volont dexiger une attitude semblable de la part de
tout le personnel ;

que les rles respectifs des diffrents acteurs soient clairement exposs et connus de tous ;

que les activits de contrle soient proportionnes aux enjeux propres chaque processus.

3.3. LA CooRDinATion Des ACTeuRs

La multiplicit des acteurs du contrle interne cre beaucoup de complexit, entrane des redondances et peut
affaiblir son efficacit. Ainsi, les entits oprationnelles peuvent souffrir dun excs de contrle de la part de
structures diffrentes intervenant en partie sur le mme sujet. De mme, chaque acteur peut croire un instant
donn quun autre acteur soccupe de tel ou tel risque ou de tel ou tel contrle, sans que finalement personne
ninvestisse le niveau dintelligence et dexpertise requis pour rellement matriser les risques.
La question de la bonne coordination de cet ensemble est donc de la plus haute importance. Les missions
essentielles de coordination sont de :

sassurer du dploiement du dispositif de contrle interne tel que la dfini la direction gnrale ;

proposer une allocation de ressources consacrer au dispositif de contrle interne et son valuation
permanente ou priodique qui soit bien proportionne la situation, la taille et aux enjeux de lentre-
prise ;

veiller la bonne diffusion des informations relatives aux politiques de contrle interne, tous niveaux ;

sassurer du bon dploiement des programmes de formation ;

partager et changer sur la cartographie des risques ; identifier les risques nouveaux et les mesures
quils appellent ;

sassurer que les contrles et les procdures sont proportionns aux risques correspondants et que les
cots sont matriss ;

18 IFACI
Prise de position LUrbanisme du contrle interne

promouvoir et dvelopper les programmes dauto-valuation du contrle interne ;

prendre en compte lanalyse des principaux incidents constats et les rsultats des contrles raliss ;

liminer les contrles redondants, bloquants ou inutiles ;

changer toutes informations sur les diffrents programmes de contrle ou daudit ;

coordonner les plans dactions correctives et apprcier les enjeux, les priorits, les comptences et les
moyens ncessaires, localement ou en assistance interne ou externe.

Recommandation n 3

Il appartient chaque organisation de mettre en place le dispositif le plus appropri ses objectifs, son
contexte, sa culture, ses hommes, pour sassurer de la cohrence et de lefficience du contrle interne.

LIFACI recommande :

que les entits oprationnelles et fonctionnelles dsignent un coordinateur ou animateur de contrle

interne, ddi ou non, assist dune quipe ou non en fonction de leur taille, et que cet agent adopte un
mode de fonctionnement en rseau pour procder tous changes dinformation ou dexpriences
utiles ;

que un ou plusieurs comits de coordination soient crs et anims aux niveaux pertinents chaque
organisation, incluant non seulement les responsables oprationnels et fonctionnels mais galement les
responsables des activits de contrle permanent ou priodique ;

quautant que de besoin, et au moins une fois par an, le directeur de laudit interne prsente de manire
formelle, au comit excutif, ses observations sur le fonctionnement du contrle interne et fasse toute
prconisation pour permettre ce dernier de prendre les dcisions aptes optimiser son efficacit et
assurer ainsi une bonne matrise des oprations ;

quune prsentation similaire soit faite au comit daudit afin quil soit notamment tenu inform des
principaux rsultats des contrles exercs et des dcisions prises pour renforcer les scurits ;

que laudit interne conseille la direction gnrale sur lurbanisation du contrle interne, anime et coor-
donne son dploiement et son amlioration permanente ; quen revanche il ne soit pas partie prenante de
la dfinition, de la mise en place et du fonctionnement des dispositifs oprationnels de contrle quil
sera appel auditer.

3.4. LinDPenDAnCe De LAuDiT inTeRne

Comme nous lavons not plus haut, le fort dveloppement des systmes de contrle interne au cours des dix
dernires annes a t accompagn lorsquil ne la pas prcd dun renforcement trs significatif de
laudit interne qui fournit lattention non seulement de la direction gnrale, mais galement du conseil
dadministration par lintermdiaire du comit daudit, des valuations et des conseils sur le fonctionnement
du systme de management des risques et lefficacit des dispositifs de contrle interne.

IFACI 19
 Prise de position LUrbanisme du contrle interne

Pour atteindre cet objectif particulirement ambitieux, la direction de laudit interne utilise certes une mtho-
dologie rigoureuse mise en uvre par des collaborateurs de talent mais elle exploite aussi son positionnement
unique, sa vision globale et transversale, linterface entre les diverses fonctions et processus de lentreprise.
Elle exploite surtout son indpendance par rapport aux objets audits et la libert qui en rsulte dobserver les
faits et de rechercher les causes profondes des dysfonctionnements sans avoir un biais li une responsabilit
oprationnelle, en tirant le meilleur parti de laccs le plus large aux informations et aux personnes que lui
donne la charte daudit interne.

Si lon reconnat la valeur de cette indpendance, il convient de lorganiser et de lentretenir, et tout dabord,
pour les groupes qui ne lont pas encore fait, en rattachant le directeur de laudit interne au plus haut niveau du
management sans oublier la relation troite et continue quil doit avoir avec le comit daudit.

Selon le Cadre de rfrence de lAMF Pour exercer ses responsabilits en toute connaissance de cause, le
comit daudit peut entendre le responsable de laudit interne, donner son avis sur lorganisation de son
service et tre inform de son travail. Il doit tre en consquence destinataire des rapports daudit interne ou
dune synthse priodique de ces rapports .

Il existe une grande complmentarit entre le comit daudit et laudit interne. Le comit daudit, en effet,
garantit et consacre lindpendance de laudit interne. De son ct, laudit interne est en mesure dapporter au
comit daudit un regard impartial et professionnel sur les risques de lentreprise et sur le dispositif mis en
place pour les matriser.

Recommandations n4

ebzone communication (www.ebzone.fr) - Impression : Imprimerie Compdit Beauregard - Photo couverture : Thibault Petit-Bara
LIFACI recommande :

que laudit interne soit rattach au plus haut niveau de lorganisation afin de conforter lobjectivit de
ses dmarches et affirmer lindpendance dont il a besoin pour exercer ses activits ; que ce rattache-
ment soit situ idalement au niveau de la direction gnrale, ultime responsable du contrle interne
comme de la bonne marche des organisations ;

quun lien troit et continu soit tabli avec le comit daudit pour :
- permettre ce dernier de bnficier dune vision de synthse sur le dispositif de contrle interne et
obtenir des rponses directes et prcises sur certains de ses lments cls ;
- garantir lindpendance de laudit interne. Ralisation :

IFACI - Paris - Octobre 2008 - ISBN : 978-2-915042-01-6

20 IFACI
12 bis, place Henri Bergson - 75008 Paris - Tl. : 01 40 08 48 00 - Fax : 01 40 08 48 20
Mel : institut@ifaci.com - Internet : www.ifaci.com
Institut Franais de lAudit et du Contrle Internes - Association Loi 1901

LIFACI est affili The Institute of Internal Auditors