09 juillet 2018

pictogramme temps Lecture 5 mn

A la rencontre des directions de maîtrise des risques des entreprises du secteur technologie : Criteo

L'une des ambitions du groupe de travail Audit et Innovation, lancé à l'IFACI, est d’aller à la rencontre des grandes entreprises du secteur tech. Au travers de ces interviews, nous souhaitons comprendre si et comment le sujet de l'innovation est abordé par ces équipes d'audit interne, contrôle interne ou gestion des risques. Il y a quelques semaines, nous avons eu l'opportunité d'interviewer Petrie Terblanche, vice-président du contrôle interne et de la gestion des risques («ICRM») chez Criteo, licorne française de technologie de marketing commercial. Il pilote la fonction ICRM qui vérifie la bonne exécution et l’efficacité des procédures de contrôles en vue de la conformité à la loi Sarbanes-Oxley 404. La fonction apporte aussi ses conseils pour améliorer les processus et la gestion des risques. Avant de rejoindre Criteo, Petrie a été plusieurs années dans le département Business Risk Services chez Ernst & Young avant de diriger les fonctions d'audit interne et de conformité de Brocade et de Logitech SA. Bonjour Petrie. Pourriez-vous nous dire quand et pourquoi votre département a été créé ? Pétrie Terblanche : Notre fonction Contrôle interne et Gestion des risques, ICRM, a été formellement créée lorsque j'ai rejoint Criteo en 2015 pour assurer la conformité à la loi SOx [Sarbanes-Oxley 404], étant donné que la société est cotée à la bourse américaine (NASDAQ) depuis 2013. Nous effectuons maintenant des audits sur d’autres aspects que la conformité à SOx, des missions d’assurance telle que définie dans les Normes. Nous effectuons aussi des évaluations de type conseil : nous aidons à concevoir les nouveaux processus et contrôles ou à les améliorer. Le management de l’entreprise est responsable des contrôles internes, de leur mise en oeuvre et de leur bonne application. Pouvez-vous nous en dire plus sur l'organisation de votre équipe ? P. T. : Nous utilisons un module de co-sourcing pour couvrir le programme annuel SOX (documentation, testing etc.) pour le compte de la direction. Notre équipe de huit personnes couvre un périmètre mondial, même si nous sommes tous basés au siège social de Paris en tant que Centre de Service Partagés Groupe (« Global Shared Service Center - GSSC »), et que la plupart des activités de gestion et de comptabilité sont localisées ici en France. Avec la création des services autres que SOX, avez-vous également défini un plan d’audit ? P. T. : Oui, nous avons élaboré notre premier plan d’audit en tirant parti des ateliers de cartographie des risques dans le cadre de l’évaluation annuelle des risques de l'entreprise. Nous avons aussi capitalisé sur les commentaires de la direction et sur des analyses comparatives des risques externes. Nous prévoyons de réviser ce plan d’audit deux fois par an pour nous assurer que la cartographie des risques est à jour et pertinente pour l'entreprise. Notre plan d'audit est en lien avec les objectifs de Criteo, il prend en compte les risques stratégiques et laisse une large place aux missions de conseil, dans la mesure où il s'agit d'une jeune entreprise où beaucoup de choses sont à mettre en place. Par exemple, nous jouons un rôle de conseil lors du déploiement de nouveaux outils ou pour proposer des améliorations de processus. Nous sommes force de proposition sur la gestion des risques et des contrôles, pour les rendre plus efficaces et ainsi contribuer à la performance de l’entreprise. Nous identifions des gains rapides où nous pouvons ajouter de la valeur à l'entreprise ou travaillons sur des sujets où une opinion indépendante est nécessaire. Nous traitons à la fois les risques actuels et futurs et les priorisons en fonction des objectifs de l'entreprise. Nous fournissons des compétences, des ressources et nous documentons le travail effectué, ce qui n'est pas toujours le cas dans un environnement où le rythme des activités est si rapide. Nous participons également à des projets et des discussions d'amélioration des processus dans le but de renforcer les contrôles opérationnels de l'entreprise. Par exemple, nous contribuons à la dynamique d’innovation en rationalisant et en automatisant les contrôles, en optimisant la conception des contrôles. Cela présente le bénéfice de réduire le temps consacré au contrôle par les équipes et de sécuriser la qualité de leur réalisation. Comment assurez-vous la compréhension de la stratégie de l'entreprise au sein de votre équipe ? P. T. : Le département ICRM offre l'opportunité d'apprendre rapidement car nous couvrons tous les domaines de l'organisation à travers notre cartographie des risques. Nous nous adaptons et évoluons rapidement au fur et à mesure que l'entreprise change. Nous rencontrons régulièrement la direction pour mieux comprendre la stratégie et les principaux enjeux de l’année. Pouvez-vous nous dire s'il existe d'autres fonctions liées à la gouvernance, aux risques et à la conformité (« GRC ») chez Criteo et comment vous travaillez ensemble ? P. T. : Il existe d'autres fonctions GRC chez Criteo qui se concentrent sur différents domaines de risque, à savoir la conformité légale, la protection des données, les systèmes d’information et la conformité sur les sujets RH. Nous collaborons ensemble et, au besoin, tirons parti de leurs évaluations des risques et de leurs politiques de conformité. Nous avons un tableau de bord consolidé pour fournir une « image holistique » et parler d’une seule une voix à la direction de l'entreprise. Notre rôle consiste à s'assurer que le risque fait partie de la prise de décision et de la gestion de l’activité. Venons maintenant au sujet qui intéresse tout particulièrement notre groupe : l'innovation. S'agit-il d'un sujet / processus dédié dans votre plan d'audit ? P. T. : Oui, l'innovation peut faire partie de notre plan d'audit en fonction de notre évaluation des risques et des priorités. Par exemple, nous passons en revue nos processus internes de R&D et de développement de produits en posant certaines des questions suivantes : Quels sont les processus permettant à une innovation de franchir les différentes étapes de validation? Quels sont les critères pour mettre cette innovation sur le marché ? Notre plan de vente est-il assez robuste ? Y a-t-il un impact sur les commissions de vente et si oui, quels sont les critères pour le calculer ? Comment évaluons-nous si l'innovation est une réussite ? Nous passons en revue les indicateurs de performance clés qui ont un impact et / ou atténuent les risques commerciaux, opérationnels ou financiers. Cela signifie-t-il que vous auditez les laboratoires ou départements de R&D ? P. T. : Nos équipes de R&D sont localisées sur plusieurs sites dans le monde. Nous collaborons très étroitement avec eux, même du point de vue des contrôles internes pour la production des états financiers car ces innovations sont ou seront à l'avenir sources de revenus et impacteront donc les états financiers. Comment avez-vous établi cette relation de collaboration avec les équipes R&D et IT ? Des conseils à ce sujet pour d'autres auditeurs ? P. T. : Cette collaboration s'est construite au fil du temps en démontrant qu'ils pouvaient tirer parti de la méthodologie que nous utilisons pour leurs activités quotidiennes. Par exemple, nous avons aidé certaines équipes à renforcer leurs analyses en montrant les avantages de l'utilisation de l’analyse causale. La clé est en effet d’avoir une démarche empathique avec les équipes R&D et de montrer la valeur ajoutée et le bénéfice de la méthodologie que nous utilisons et dont pourraient également bénéficier leurs équipes. D’après vous, le rôle de l'audit interne est-il différent dans le secteur de la technologie ? P. T. : Dans l'industrie des technologies, nous sommes soumis à moins d’obligations légales que dans d’autres secteurs, les équipes sont souvent moins habituées à rencontrer des auditeurs ; notre défi est donc de démontrer continuellement à la direction la valeur que nous pouvons apporter. Par ailleurs la distinction entre les rôles d’audit interne et contrôle interne n’est pas toujours faite, par les équipes ou par le groupe de direction. Dans une entreprise à croissance rapide, il y a moins de procédures internes ou elles doivent évoluer rapidement pour suivre celle de l'entreprise. Cependant l’entreprise n’a pas toujours les ressources ou l’expertise et fait appel à l’audit interne pour identifier les risques et améliorations possibles et faire des recommandations sur le design des processus et contrôles. Propos recueillis par Stéphanie Piboul-Batiot, adjointe au directeur de l’Audit interne d’Allianz Partners et Alice Boisson, ex-auditrice interne reconvertie en coach agile des équipes R&D et produit chez Meetic. [box type="note" align="alignleft" class="" width=""]Plus d’informations sur Criteo : https://www.criteo. com/company/ Secteur du commerce électronique Revenus 2 296,7 M $ Résultat net 91,2 M $ 2 764 employés au 31 décembre 2017[/box]