16 novembre 2020
Lecture 4 mn
//= do_shortcode('[addthis tool="addthis_inline_share_toolbox_wznq"]') ?>
Audit des tiers premiers enseignements des travaux de groupe
Initiés il y a quelques mois par l’IFACI, des groupes de travail se sont consacrés à l’audit de tiers. Rappel des enjeux et premiers points sur ces travaux avec Éric Chemama, membre de l’équipe pédagogique de l’IFACI, qui les a encadrés, et Stéphane Poitevin, Responsable contrôle interne Orange, qui y a participé.
« Comment donner une assurance raisonnable à ma Direction sur la conduite des activités de mon entreprise confiées à d’autres ? Ces activités sont-elles bien identifiées ? Sont-elles réellement maîtrisées ? » Autant de questions auxquelles les participants ont tenté de répondre, face aux enjeux croissants de la maîtrise des opérations réalisées par les tiers. Fin mars, un sondage effectué auprès des adhérents de l’IFACI a d’abord permis de dégager quatre thématiques principales, qui ont ainsi donné naissance à quatre groupes : « Évaluation des contrôles », « Gestion des risques », « Identification et cotation des tiers » et « Conformité ». « Des groupes qui n’avaient pas forcément vocation à interagir, » explique Éric Chemama, « mais nous nous sommes rendus compte qu’il y avait finalement des liens à créer ». Avec pour objectif d’aboutir à l’automne à des livrables sous forme d’outils et de guides méthodologiques simples à utiliser.
Les entreprises, au fil de leur développement, font de plus en plus appel à des tiers, à leur expertise, mais face à une augmentation des risques d’une part et des réglementations d’autre part, il n’est effectivement pas possible de leur laisser carte blanche sans prendre de solides garanties. « Nous devons absolument les évaluer
pour être certains qu’ils sont suffisamment robustes, qu’ils répondent à toutes les exigences en matière de compliance, de devoir de vigilance, de lutte contre la fraude, de conformité à la loi Sapin 2, » confirme Stéphane Poitevin, Responsable contrôle interne Orange et membre du groupe, « Prenons l’exemple du RGPD, une entreprise peut s’engager, mais il est plus difficile de garantir que ce règlement est parfaitement respecté quand nous faisons appel à des tiers ».
« On doit toujours garder à l’esprit cette question, à chaque nouvelle étape lorsque l’on fait appel à des tiers : suis-je bien toujours en conformité avec les différentes réglementations en vigueur, » rappelle de son côté Éric Chemama, « ce doit être un souci permanent. Or, le niveau de contrôle interne exercé par ces tiers est rarement la première chose que l’on regarde. On s’intéresse d’abord à leurs compétences, à leur niveau d’expertise. On doit aujourd’hui accorder une attention accrue au niveau de contrôle interne au sein des tiers. Ce n’est pas parce que l’on délègue qu’il n’y a plus rien à faire ».
« La notion d’entreprise étendue, incluant donc les tiers, est de plus en plus d’actualité, » ajoute Stéphane Poitevin, « et cela augmente le niveau de nos obligations réciproques. Avec des enjeux particuliers à surveiller : en ne maintenant pas un haut niveau de contrôle, nous mettons en jeu notre réputation, l’image de notre marque. Et le risque peut augmenter très vite lorsque nos sous-traitants sous-traitent eux-mêmes une partie de l’activité pour laquelle nous avons contracté avec eux ». Il est donc indispensable non seulement de prévoir des clauses contractuelles fortes, mais aussi de mettre en place des systèmes de surveillances auxquels les entreprises ne sont encore aujourd’hui pas habituées.
Après les premières semaines de travail des quatre groupes, des « cartes mentales » avaient déjà été fixées, représentant les axes de réflexion et les besoins. Par exemple, sur la thématique « Conformité », la gouvernance, les acteurs, les contrats et leurs champs d’application ont fait l’objet de travaux spécifiques, avec une approche totalement collective, basée sur les échanges et les retours d’expérience. Et en fonction des groupes, différents types de livrables devraient être produits d’ici novembre : fiches méthodologiques, guides de bonnes pratiques et outils... « Nous voulons mettre à la disposition des adhérents de l’IFACI des choses simples, comme par exemple un outil Excel permettant d’identifier les informations nécessaires pour gérer les tiers et pouvoir coter le risque pour l’entreprise, » explique Éric Chemama. Et sur des sujets extrêmement précis et sensibles, comme le groupe « Conformité », les travaux sont relus et validés par une experte en droit. Les outils seront testés avec le concours de bêta testeurs que nous solliciterons.
Des travaux déjà riches d’enseignements pour les participants, comme le confie Stéphane Poitevin : « Nous avons déjà mis en place un certain nombre de choses chez Orange, nous avons un service compliance, mais on sent aujourd’hui la nécessité de travailler avec les différentes lignes de maîtrise. Ces travaux de groupe m’ont fait prendre encore plus conscience qu’il ne fallait surtout pas travailler en silo, ne pas faire de la superposition de travaux mais échanger au maximum entre départements sur les différents types d’audit à réaliser au sein de nos tiers ».