23 décembre 2019

pictogramme temps Lecture 8 mn

Le rôle et l'organisation des fonctions et départements d'audit dans les ETI

Alexandra Herbas, Responsable Audit et Contrôle Interne du Groupe B&B Hotels, et Florent Prime, Directeur Audit et Contrôle Interne de Fives, ont accepté d’évoquer leur rôle et l’organisation de leurs fonctions et départements dans leurs groupes respectifs.

Pouvez-vous vous présenter en quelques mots ?

Alexandra Herbas : Je suis diplômée de l’école de commerce de Dijon. Après un premier poste d’audit externe chez Salustro Reydel pendant 4 ans, j’ai intégré la direction de l’audit interne du groupe SFR où je suis restée 13 ans. Tout d’abord en tant qu’auditeur interne, en charge de structurer la démarche qualité de la direction et structurer le dispositif de gestion des risques, avant de devenir responsable du pôle d’audit opérationnel, la structure ayant fortement grossi après le rachat par Altice. J’ai quitté le groupe il y a deux ans pour rejoindre en tant que Responsable du Contrôle Interne B&B Hotels, en création de poste.

Florent Prime : De mon côté, j’ai également un passé en cabinet, mais après un parcours différent. D’abord dans l’informatique puisque je suis ingénieur télécom de formation. J’ai même fait du marketing avant d’intégrer EY, où j’ai passé 7 ans. Je suis ensuite entré chez Fives en 2011, comme directeur financier d’une filiale en Inde, à Calcutta, pendant 3 ans. Puis j’ai pris pendant 2 ans la direction financière d’un petit groupe que Fives venait de racheter en Italie. Il fallait tout structurer : contrôle de gestion, trésorerie... Depuis 2016, je suis présent au siège, qui compte une centaine de collaborateurs. J’ai tout d’abord été nommé sur un poste en fonction finances. Puis en avril 2018, le Président m’a demandé de créer la fonction d’audit interne, contrôle interne et risques.

Comment êtes-vous organisés ?

A.H. : L’organisation de mon département, elle est très simple : je suis rattachée à la CFO du groupe, et interagis avec l’ensemble des filiales du groupe. Ma fonction principale est de mettre en place tous les dispositifs de gestion des risques et de contrôle interne au sein de ces filiales. Et comme nous sommes une petite structure, j’adresse aussi des périmètres un peu plus larges, comme la coordination RSE, je suis référente éthique et compliance/Sapin 2...

F.P. : Fives est un groupe d’ingénierie qui a plus de 200 ans d’existence et qui est un des grands artisans de la révolution industrielle. On lui doit le pont Alexandre III, la verrière du musée d’Orsay, le pont de Tancarville, les ascenseurs de la Tour Eiffel... Nous fabriquons aujourd’hui des cimenteries, des lignes de traitement thermique, des équipements industriels dédiés à l’automobile, l’énergie, la logistique... Notre groupe, structuré autour d’une centaine de PME aux activités diversifiées, a pour philosophie d’accorder une grande autonomie à ses filiales mais a vocation à être harmonisé par le siège et ses divisions. Nous avons depuis 2008 une politique sécurité, depuis 2004 des directives... Mais avec la croissance du groupe, nous ne pouvions plus nous contenter de donner à nos filiales une liste de règles en leur demandant de les appliquer.

A.H. : Il y a un vrai parallèle avec notre organisation. Notre siège groupe est très « lean », reposant sur une organisation décentralisée dans laquelle chaque filiale est autonome, avec un DG Pays qui coordonne l’ensemble des fonctions sur son marché. La fonction de la structure centralisée est d’apporter de l’harmonisation, du process, et d’accompagner la croissance de chaque filiale.

F.P. : C’est cela. Et puis nous avons des entrepreneurs en face de nous, qui portent leur business. L’idée n’est donc pas d’aller créer de la bureaucratie, de rajouter de l’administratif. On est dans l’industrie, avec des marges réduites. Il faut rester très efficace, très agile. Chez nous, les contrôleurs internes seront très souvent les directeurs financiers, ou bien les directeurs qualité. Il y a peu de postes dédiés, ils doivent prendre sur leur temps. Pour faire avancer ces sujets, nous avons créé un poste de responsable audit interne et deux postes d’auditeurs internes juniors et c’est déjà un gros investissement pour un groupe comme le nôtre.

Diriez-vous qu’être auditeur ou contrôleur interne dans une ETI vous contraint à être encore plus agile que dans un grand groupe ?

F.P. : Nous comptons 8 700 salariés et un chiffre d’affaires de près de 2 milliards d’euros, mais nous ne sommes pas non plus structurés comme un grand groupe, nous sommes encore en phase de construction. Il faut donc rester souple. On rajoute petit à petit des sujets : la sécurité, la performance opérationnelle, l’audit interne... Mais dans un mode très agile.

A.H. : C’est également vrai chez nous. B&B est un groupe qui se développe extrêmement vite. On ouvre un hôtel par semaine. Aujourd’hui, surtout pour des ETI comme la nôtre, très décentralisées, où la fonction groupe est très lean, on est obligés d’avoir des dispositifs, mais on doit les mettre en place en accompagnant le business. Dans chaque pays, chaque entité est dirigée par un expert, qui a une vraie notion du risque et du contrôle. Après, ils n’ont pas tous le même degré de formalisation que l’on peut attendre en termes de reporting. On est surtout là pour les accompagner, leur donner les outils.

En termes d’outils justement, réalisez-vous un plan d’audit ?

A.H. : Pas pour le moment. Je me suis surtout concentrée sur la partie contrôle interne et compliance pour m’attacher aux fondamentaux. Je peux être amenée à lancer des audits externes sur des sujets spécifiques. Au niveau des filiales, je ne suis pas là pour leur imposer des choses qui n’ont pas de sens. Il faut les faire adhérer, tant au niveau du top management que des opérationnels. En revanche, j’ai défini un plan de contrôle interne avec des priorisations sur des process clés concernant les objectifs de l’entreprise, ce que l’on doit sécuriser.

F.P. : De notre côté, nous avons commencé par mettre en place une cartographie des risques formelle. À partir de là, nous avons réalisé une première construction du plan d’audit cette année. Mais vraiment dans l’esprit d’aider les filiales à progresser, pas de faire la police. Et puis maintenant, on essaye d’avoir une vision un peu plus long terme, à 3 ans, avec les sujets que l’on aimerait voir traités pour 2020-2022, afin d’aller chercher les arbitrages budgétaires.

Comme Alexandra, vous ressentez ce besoin de ne pas être trop « intrusif » par rapport aux filiales ?

F.P. : Bien sûr. Quand on vient faire un audit, les filiales ont un « vrai » travail à effectuer à côté, elles ne peuvent dédier que peu de ressources pour nous. Et il ne faut pas perturber l’activité.

Il faut aussi faire preuve de beaucoup de diplomatie ?

A.H. : Tout à fait !

F.P. : Oui, je passe beaucoup de temps à expliquer. J’utilise souvent l’image du contrôle interne comme un détecteur de fumée : ça coûte un peu d’argent mais il faut le maintenir pour éviter de gros dégâts. Une des grandes peurs, c’est que ça puisse déresponsabiliser. C’est vrai que trop de contrôle peut donner ce sentiment. Mais le bon contrôle, au bon endroit, bien fait, pas trop intrusif, ça marche.

A.H. : Expliquer ce que l’on fait, pourquoi on le fait, c’est un travail en continu. Il faut arriver à convaincre que la formalisation, le reporting, c’est une vraie valeur ajoutée...

La RSE et l’éthique, les enjeux sociétaux, environnementaux voire technologiques, peuvent-ils occuper une place aussi déterminante dans une structure d’ETI ?

A.H. : J’aurais envie de dire que nous intervenons peut-être mieux sur ces sujets. En ce qui concerne B&B, les enjeux RSE sont très importants et donnent lieu à un monitoring sur la consommation d’eau, d’électricité, etc. Ils sont complètement intégrés à notre ADN. Et nous développons l’activité tellement rapidement que nous devons absolument maîtriser les questions d’éthique parce que c’est un vrai enjeu de performance.

F.P. : Chez Fives, nous avons créé le département RSE il y a plus de 10 ans, avec au départ un fort enjeu sur la sécurité. Un domaine où l’on a énormément progressé. Et puis c’est un vrai driver de business : quand les Chinois viennent nous voir parce qu’ils ont des usines qui polluent trop, nous concevons des brûleurs ou les broyeurs qui respectent les normes. C’est un vrai argument de vente.

A.H. : Il faut aussi être capable d’anticiper sur les réglementations...

F.P. : Sur la partie compliance, c’est un petit peu différent parce que c’est plus récent. Avant Sapin 2, c’était surtout pris en charge par les directions juridiques. Depuis le début de l’année, nous avons nommé aussi un compliance officer et un directeur de la sécurité des systèmes d’information, ce qui est un investissement important.

Quels outils numériques utilisez-vous ?

F.P. : Les seuls outils que nous utilisons sont ArengiBox pour la cartographie des risques et BFC pour le reporting et la consolidation financière. On utilise également BFC pour faire remonter la RSE, les reportings sécurité. Tout est greffé sur le même outil et ça marche plutôt pas mal. Avec les filiales, on ne va pas s’en sortir avec Excel. Il faut un outil. Nous utilisons également Teams (pour collaborer avec les audités) et SharePoint de Microsoft dans le cadre des audits. Et pour le contrôle interne, nous avions historiquement des directives papier que nous sommes en train de réécrire. Nous avons mis en place un outil en ligne, développé en interne, qui sera accessible à certains collaborateurs.

A.H. : De notre côté, nous n’avons pas la même volumétrie de filiales. Mon principal outil reste mes jambes et mon ordinateur pour aller travailler directement avec les opérations et le management. Mais je suis assez d’accord que dans un avenir proche, avec une multiplicité de localisations, le traitement manuel deviendra impossible.

F.P. : Là où je vous rejoins, c’est qu’effectivement, le danger de l’outil c’est que les gens assimilent le contrôle interne à l’outil. Et ce n’est surtout pas un outil. Je confirme qu’il faut se déplacer, aller à la rencontre des opérationnels.

Comment définiriez-vous la relation avec la gouvernance ?

A.H. : Si je compare mes deux expériences – grand groupe et ETI – une des grandes différences, c’est que si en ETI les contrôles et dispositifs sont bien acceptés par les dirigeants, ils doivent être encore plus pragmatiques que dans les grands groupes et directement connectés au business.

F.P. : Oui, je suis d’accord. Nous avons des dirigeants qui aiment aller chercher des marchés, qui ne sont pas dans les process. Mais ils se rendent compte aujourd’hui de la valeur que cela peut avoir.

A.H. : Après, dans la relation au quotidien, j’ai un accès assez direct au DG, au DAF, aux différents managers. S’il y a quelque chose à valider, on peut avoir une réponse directe, tout de suite. En fait, dès qu’il y a une relation de confiance, ces organisations resserrées permettent d’aller encore plus vite. Il y a tout de même un revers : c’est que les dirigeants attendent aussi du résultat immédiatement.

F.P. : De mon côté également, la relation est très fluide. Je peux appeler directement un patron de division, mais je pense que l’un de mes enjeux, c’est aussi d’arriver à instaurer un temps long. Je voudrais que l’audit interne soit un moment pour les filiales de prendre un peu de recul sur leurs activités. Nous venons également de créer un comité d’audit, qui a remplacé un « comité des comptes » qui existait auparavant.

Pour vous, quelles sont les bonnes pratiques à mettre en œuvre dans une ETI ?

A.H. : Il faut vraiment être dans le pragmatisme, il faut être concret. Il faut aussi montrer que l’on est une activité totalement intégrée au business, que nous ne sommes pas en dehors de leur quotidien, que l’on comprend leur organisation. Et puis il faut faire les choses petit à petit, tout en montrant de manière tangible la valeur ajoutée de ce qui est proposé.

F.P. : Il faut aussi faire preuve de pédagogie, autour des trois lignes de maîtrise notamment, ou même simplement insister sur les risques. Si on parle à un DG d’audit, de contrôle, ça ne remonte pas sur la pile de ses priorités. Quand on parle de risques, ce qui pourrait porter atteinte à leurs objectifs, ça remonte alors nettement en haut de la pile !

 

Propos recueillis par Jean-François Moruzzi