Pourquoi Provigis ?
Nos solutions
Donneurs d'ordresOrganisations suivies
Partenaires
Tarifs
Ressources
BlogRessources téléchargeablesMédaillesCas clientsFormations
Se connecterRéserver une démo
BlogThird Party Risk ManagementInspection générale et audit interne appliqués à la conformité des tiers : le guide opérationnel
Inspection générale et audit interne | Conformité tiers

Inspection générale et audit interne appliqués à la conformité des tiers : le guide opérationnel

Selon les diagnostics de l’AFA, les grandes entreprises françaises ont des difficultés à évaluer la conformité de leurs tiers fournisseurs, sous-traitants et prestataires, avec un risque légal latent. Cette exposition constitue un sujet phare de l’inspection générale et de l’audit interne.

Qu'est-ce que l'inspection générale et l'audit interne ?

L'audit interne est une fonction indépendante, rattachée à la direction générale ou au comité d'audit, qui évalue la maîtrise des risques et l'efficacité du contrôle interne d'une organisation. Sa mission se décompose en deux volets :

  • Fournir une assurance objective sur le fonctionnement des processus ;
  • Conseiller la direction pour les améliorer.

La profession est encadrée au niveau mondial par l'Institute of Internal Auditors (IIA), l'organisation professionnelle qui définit les normes, le code de déontologie et les certifications applicables aux auditeurs internes dans plus de 170 pays. En France, l'Institut français de l'audit et du contrôle internes (IFACI), chapitre français de l'IIA, fédère les praticiens et diffuse ces normes depuis sa création, en 1965.

Dans les banques et les grands groupes, cette fonction porte souvent le nom d'« inspection générale ». Les deux appellations renvoient à la même direction, mais la pratique distingue deux types d'interventions :

  • L'audit interne mène des missions planifiées, inscrites dans un plan annuel fondé sur une analyse des risques. Les thématiques couvrent l'ensemble des activités de l'organisation : processus opérationnels, conformité réglementaire, fiabilité des données financières et systèmes d'information, entre autres.
  • L'inspection intervient de manière plus ciblée, souvent en réaction à un incident, une suspicion de fraude ou un dysfonctionnement identifié. Ses missions sont plus courtes et peuvent déboucher sur des mesures correctives immédiates.

💡 L’indépendance de l’audit interne pour éviter les conflits d’intérêts

L'audit interne dépend hiérarchiquement du président-directeur général ou du comité d'audit, qui est l'organe du conseil d'administration dédié à la surveillance des risques et du contrôle. Il ne dépend ni de la direction financière, ni des différentes directions opérationnelles. C'est cette indépendance de rattachement qui lui permet d'évaluer toutes les activités et tous les niveaux hiérarchiques sans conflit d'intérêts.

L'audit interne dans le modèle des trois lignes de maîtrise

Le modèle des trois lignes de maîtrise, formalisé par l'IIA en 2013 puis actualisé en 2020, répartit les responsabilités de gestion des risques entre trois niveaux au sein d'une organisation, avec un degré d'indépendance croissant par rapport aux opérations. L’audit interne occupe la troisième ligne, celle qui évalue l'efficacité des deux premières.

Première ligne : les contrôles opérationnels

La première ligne regroupe les managers et collaborateurs qui exécutent les activités de l'organisation au quotidien. Ce sont eux qui « possèdent » les risques : ils les rencontrent dans leurs opérations, et c'est sous leur responsabilité que les contrôles de premier niveau sont pensés et exécutés :

  • Les autocontrôles réalisés par les opérationnels eux-mêmes sur leurs propres opérations. Par exemple : un acheteur qui vérifie les documents d'un fournisseur avant de signer un bon de commande, ou un comptable qui rapproche un paiement d'une facture.
  • Les contrôles croisés entre services : le back-office qui valide une opération initiée par le front-office.
  • Les contrôles hiérarchiques exercés par le management de proximité sur les points les plus exposés. Par exemple : le visa d'un responsable sur un engagement au-delà d'un certain seuil, la revue des anomalies remontées par l'équipe, etc.

Ces contrôles sont dits « permanents » parce qu'ils s'exercent en continu, dans le flux des opérations. Si une non-conformité est détectée à ce stade, c'est l'opérationnel qui doit la traiter ou l'escalader.

💡 Le concept de « propriétaire de risque »

Dans le modèle des trois lignes, chaque risque a un propriétaire identifié, et ce propriétaire se situe en première ligne. Par exemple, pour les risques liés à la conformité fournisseurs, le propriétaire est généralement la direction des achats ou la direction opérationnelle qui contractualise avec le tiers. C'est elle qui porte la responsabilité de collecter les preuves et d'appliquer les contrôles de premier niveau.

Deuxième ligne : conformité, risques et contrôle interne

La deuxième ligne regroupe les fonctions transverses chargées de superviser la gestion des risques à l'échelle de l'organisation. Si la première ligne agit dans le flux des opérations, la deuxième prend du recul : elle conçoit les cadres de contrôle et vérifie que la première ligne les applique.

La composition de cette deuxième ligne dépend de la taille de l’organisation et de son secteur d’activité :

  • La direction de la conformité, qui veille au respect des obligations légales et réglementaires (Sapin II, LCB-FT, RGPD, etc.) et qui alerte la direction en cas d'exposition ;
  • La direction des risques (ou risk management), qui pilote la cartographie des risques à l'échelle de l'entreprise ;
  • Le contrôle interne, qui formalise les référentiels de contrôle applicables aux opérationnels, en teste l'application par sondage ou revue périodique et remonte les anomalies détectées ;
  • D'autres fonctions spécialisées selon le contexte : direction juridique, sécurité des systèmes d'information, DPO, direction RSE, etc.

Au quotidien, ces fonctions valident les procédures opérationnelles, définissent les seuils d'alerte et produisent les reportings de suivi des risques. Elles forment aussi les équipes de première ligne aux nouvelles exigences réglementaires.

💡 La proximité avec les opérations est à la fois une force et une limite

Dans la mesure où elles participent aux décisions du management, elles ne peuvent pas fournir une assurance pleinement indépendante sur l'efficacité du dispositif global. C'est précisément cette limite qui justifie l'existence d'une troisième ligne.

Troisième ligne : l'audit interne

Dans le modèle de l'IIA, l'audit interne occupe la troisième ligne parce qu'il est le seul acteur du dispositif qui n'a aucune responsabilité opérationnelle, ni aucun pouvoir de décision sur les processus qu'il examine. Cette absence d'implication dans la gestion quotidienne lui confère la capacité d'évaluer l'ensemble du dispositif de contrôle, y compris le travail des deux premières lignes.

Concrètement, l'audit interne évalue :

  • Si les contrôles de première ligne existent, fonctionnent et couvrent les risques identifiés. Par exemple : les acheteurs appliquent-ils effectivement la procédure de vérification documentaire des fournisseurs ?
  • Si les fonctions de deuxième ligne jouent leur rôle de supervision : la direction de la conformité a-t-elle mis à jour la cartographie des risques après un changement réglementaire ?
  • Si les deux premières lignes se coordonnent, ou si des zones restent sans couverture.

Pour garantir cette indépendance, l'audit interne est rattaché à l'organe de gouvernance (conseil d'administration ou comité d'audit) et non au management opérationnel. Il dispose d'un accès total aux personnes, aux documents et aux systèmes d'information de l'organisation, sans restriction de périmètre. En contrepartie, il s'interdit d'évaluer des activités qu'il a lui-même contribué à concevoir ou à gérer récemment.

💡 Les auditeurs externes et les régulateurs dans le modèle

L'IIA considère les auditeurs externes (commissaires aux comptes) et les régulateurs sectoriels (ACPR pour les banques, AMF pour les marchés financiers, AFA pour l'anticorruption, etc.) comme des lignes de défense complémentaires, extérieures à l'organisation. Leur périmètre est plus ciblé que celui de l'audit interne, mais leurs constats alimentent le plan d'audit et peuvent déclencher des missions supplémentaires.

Quelles sont les étapes de la mission d'audit interne ?

Toute mission d'audit interne se déroule en trois phases successives, formalisées par l’IIA et reprises dans le Cadre de Référence International des Pratiques Professionnelles (CRIPP), diffusé en France par l’IFACI :

  1. La préparation (cadrage, prise de connaissance, identification des risques) ;
  2. La réalisation (tests, vérifications, entretiens sur le terrain) ;
  3. La conclusion (restitution des constats, rapport, recommandations et suivi).

Dans la suite, nous appliquerons ces étapes sur un exemple fil rouge : une mission d'audit portant sur le dispositif de conformité fournisseurs d'un groupe industriel soumis à la loi Sapin II.

1. Cadrage et évaluation préliminaire des risques

La mission commence par un ordre de mission signé par la direction générale. Ce document officialise l'intervention de l'équipe d'audit, en fixe le périmètre et en informe les responsables concernés.

L'équipe d'audit entame ensuite une phase de prise de connaissance. Avant de rencontrer qui que ce soit, elle collecte et analyse la documentation existante sur le sujet audité :

  • Les procédures internes en vigueur sur le périmètre concerné ;
  • La cartographie des risques tenue par la deuxième ligne (conformité, risk management) ;
  • Les rapports d'audit antérieurs sur le même périmètre et l'état d'avancement des recommandations passées ;
  • Les résultats des contrôles de deuxième ligne (indicateurs de suivi, alertes…) ;
  • Le cadre réglementaire applicable.

À partir de cette revue documentaire, l'équipe identifie les zones de risque à examiner en priorité : procédures obsolètes, écarts entre le dispositif décrit et le dispositif appliqué, périmètres non couverts par les contrôles de deuxième ligne, recommandations antérieures restées sans suite...

Ces constats préliminaires sont enfin formalisés dans un rapport d'orientation. Ce document pose les objectifs de la mission et délimite les tests à mener sur le terrain avant d’être présenté aux audités lors de la réunion d'ouverture, qui marque le passage à la phase de réalisation.

💡 Fil rouge : mission d'audit sur la conformité fournisseurs d'un groupe industriel (1/4)

L'inspection générale d'un groupe industriel inscrit au plan d'audit annuel une mission sur le dispositif de due diligence anticorruption appliqué à ses fournisseurs. Pendant la phase de cadrage, l'équipe d'audit (un chef de mission et deux auditeurs) récupère la procédure de référencement fournisseurs, la cartographie des risques Sapin II, les résultats du dernier screening et les statistiques de complétion documentaire des fournisseurs. Deux signaux retiennent leur attention et deviennent les axes prioritaires du rapport d'orientation :

·        La procédure d'évaluation fournisseurs n'a pas été actualisée depuis l'entrée en vigueur de la CSDDD ;

·        Le taux de complétion des questionnaires anticorruption chute à 35 % sur les fournisseurs hors UE (vs. 78 % en France).

2. Tests d'audit et investigation sur le terrain

La phase de réalisation commence par une réunion d'ouverture qui se tient dans les locaux de l'entité auditée et réunit l'équipe d'audit (chef de mission, auditeurs) et les responsables du périmètre concerné. Trois objectifs : présenter le rapport d'orientation, confirmer le calendrier des travaux et organiser l'accès aux documents, aux systèmes d'information et aux interlocuteurs nécessaires.

L'équipe d'audit déroule ensuite son programme de travail, qui détaille les tests à mener pour chaque objectif d'audit. Les techniques d'investigation mobilisées dépendent de la nature du sujet audité et peuvent combiner plusieurs approches :

  • Les entretiens avec les opérationnels et les responsables, pour comprendre comment les processus fonctionnent dans la réalité (et pas seulement sur le papier) ;
  • L'analyse documentaire, qui consiste à examiner les pièces justificatives, les procédures, les contrats et/ou les fichiers de suivi ;
  • L'observation directe des pratiques sur le terrain ;
  • Les tests par sondage, où l'auditeur sélectionne un échantillon d'opérations et vérifie leur conformité aux procédures applicables ;
  • Les rapprochements de données entre plusieurs sources (par exemple, croiser un fichier fournisseurs avec une base de contrôle documentaire pour identifier les tiers non évalués).

Chaque dysfonctionnement identifié est documenté dans une Feuille de Révélation et d'Analyse de Problème, ou FRAP, un document structuré en cinq rubriques qui oblige l'auditeur à formaliser son raisonnement de bout en bout :

  1. Le problème constaté ;
  2. Les faits qui le prouvent ;
  3. Les causes qui l'expliquent ;
  4. Les conséquences qu'il entraîne ;
  5. La recommandation qui permettrait d'y remédier.

L'ensemble des FRAP constitue la matière première du rapport d'audit. Tout au long de cette phase, l'auditeur valide ses constats avec les audités au fil de l'eau. Aucune observation ne doit apparaître dans le rapport sans avoir été préalablement discutée avec le responsable concerné.

💡 Fil rouge : mission d'audit sur la conformité fournisseurs d'un groupe industriel (2/4)

L'équipe interroge cinq acheteurs de trois filiales et leur demande de dérouler, sur des cas réels, la procédure de due diligence fournisseurs. Premier constat : deux acheteurs sur cinq ne savent pas où trouver le questionnaire anticorruption à envoyer aux fournisseurs. L'équipe sélectionne ensuite un échantillon de 40 fournisseurs référencés au cours des douze derniers mois et vérifie, pour chacun, la complétude du dossier de conformité. Résultat : 12 dossiers ne contiennent aucun questionnaire anticorruption, et 7 ne comportent même pas d'attestation de vigilance URSSAF à jour. Enfin, les auditeurs constatent qu'aucun workflow n'empêche la validation d'un bon de commande vers un fournisseur dont le dossier de conformité est incomplet. Trois FRAP sont rédigées sur ces constats.

3. Restitution des constats et rapport définitif

À l'issue du travail sur le terrain, l'équipe d'audit rédige un projet de rapport à partir de l'ensemble des FRAP produites pendant la phase de réalisation. Ce document reprend, pour chaque dysfonctionnement constaté, la chaîne complète du raisonnement :

  • Fait observé ;
  • Cause identifiée ;
  • Conséquence évaluée ;
  • Recommandation proposée.

Il est envoyé aux audités quelques jours avant la réunion de clôture, qui réunit les mêmes participants que la réunion d'ouverture. Le chef de mission y présente les constats dans un ordre structuré : d'abord les points forts du dispositif audité, puis les dysfonctionnements classés par niveau de criticité. L'objectif n'est pas de « sanctionner » les audités, mais d'obtenir un consensus sur la réalité des faits et d'engager la discussion sur les mesures correctives.

Après cette réunion, une procédure contradictoire s'ouvre : les audités disposent d'un délai (en général deux à quatre semaines) pour formuler leurs observations écrites sur le projet de rapport. Ils peuvent contester un constat, apporter des éléments de preuve complémentaires ou proposer des alternatives aux recommandations formulées. L'équipe d'audit intègre ces retours, maintient ou ajuste ses constats et produit le rapport définitif.

💡 Fil rouge : mission d'audit sur la conformité fournisseurs d'un groupe industriel (3/4)

Lors de la réunion de clôture, le chef de mission présente les trois FRAP à la direction des achats et à la direction de la conformité. La directrice des achats reconnaît l'absence de workflow bloquant, mais conteste le constat sur les fournisseurs hors UE : selon elle, ces fournisseurs sont suivis via un autre canal non pris en compte par l'équipe d'audit. Pendant la procédure contradictoire, elle transmet les preuves correspondantes. L'équipe vérifie : le canal existe, mais ne couvre que 8 fournisseurs sur 40. Le constat est maintenu dans le rapport définitif, avec une mention de la couverture partielle.

4. Suivi des recommandations et plans d'action

Le rapport définitif est adressé à la direction générale et au comité d'audit. Il comporte systématiquement un plan d'action, élaboré par l'entité auditée, qui précise pour chaque recommandation :

  • L'action corrective retenue ;
  • Le responsable désigné pour sa mise en œuvre ;
  • L'échéance prévue.

Le travail de l'audit interne ne s'arrête pas à la remise du rapport. Conformément à la norme 2500 du CRIPP, le responsable de l'audit interne met en place un suivi des recommandations, généralement sur une période de trois ans, via des campagnes périodiques (semestrielles ou annuelles) au cours desquelles les audités rendent compte de l'avancement de leur plan d'action.

Les recommandations restées sans suite peuvent être escaladées au comité d'audit, et le périmètre concerné peut être réinscrit au plan d'audit de l'exercice suivant.

💡 Fil rouge : mission d'audit sur la conformité fournisseurs d'un groupe industriel (4/4)

Six mois après la remise du rapport, l'inspection générale sollicite la direction des achats pour un point d'avancement. La procédure de due diligence a été mise à jour pour intégrer les exigences de la CSDDD :  recommandation clôturée. Le workflow bloquant est en cours de paramétrage dans la plateforme de collecte documentaire, avec une mise en production prévue à trois mois : recommandation partiellement mise en œuvre. En revanche, la campagne de relance sur les fournisseurs hors UE n'a pas démarré, faute de ressources disponibles à la direction des achats. Ce point sera escaladé au comité d'audit lors de sa prochaine session.

Audit interne et conformité des tiers : ce que la loi exige

Plusieurs textes de loi obligent les entreprises à évaluer leurs fournisseurs, sous-traitants et partenaires, et prévoient que l'entreprise vérifie elle-même l'efficacité des dispositifs mis en place. C'est cette exigence qui place la conformité des tiers dans le périmètre de l'audit interne.

Le tableau suivant passe ces textes en revue sous l'angle de l'audit interne : quelles obligations en découlent, et que vérifie l'auditeur ?

Texte de loi Qui est concerné ? Ce que l'auditeur vérifie Loi Sapin II (2016) Entreprises de plus de 500 salariés et 100 M€ de CA Existence et efficacité du dispositif d'évaluation anticorruption des tiers (mesure 3) et du dispositif de contrôle interne associé (mesure 8). Complétude des questionnaires, screening des tiers à risque, traçabilité des décisions. Obligation de vigilance, Code du travail (art. L. 8222-1) Tous les donneurs d'ordre, dès 5 000 € HT de contrat annuel Collecte et renouvellement semestriel des documents obligatoires (Kbis, attestation URSSAF, liste des travailleurs étrangers). Vérification de l'authenticité des attestations. Couverture de l'ensemble du portefeuille fournisseurs actif. Devoir de vigilance, Loi de 2017 (n° 2017-399) Sociétés mères de plus de 5 000 salariés en France (ou 10 000 dans le monde) Qualité et granularité de la cartographie des risques, effectivité des évaluations de tiers (au-delà du déclaratif), suivi tracé des actions correctives, existence d'un mécanisme d'alerte. CSDDD, Directive européenne (2024) À terme : entreprises de plus de 1 000 salariés et 450 M€ de CA (application progressive 2028-2029) Cartographie couvrant la chaîne de valeur étendue (au-delà du rang 1), documentation des due diligences proportionnée au risque, suivi formel des remédiations.

Comment documenter vos diligences tiers pour répondre aux attentes de l'audit interne ?

Selon la situation, vous devrez collecter entre 5 et 15 pièces par fournisseur. Ces documents peuvent avoir des durées de validité différentes (6 mois pour une attestation URSSAF, un an pour une assurance RCP), et certaines peuvent changer au cours de la relation avec le tiers (nouvel assureur, modification de l’actionnariat…).

Si vous multipliez ce volume par des dizaines, centaines voire milliers de fournisseurs actifs, la collecte manuelle (par email) devient chronophage, laborieuse et, surtout, risquée pour l’entreprise.

1. Comment collecter les documents de conformité de l'ensemble de nos fournisseurs ?

Avec Provigis, vous définissez les pièces attendues par type de fournisseur et par thématique de risque. Ensuite :

  • Les demandes sont envoyées à chaque fournisseur avec la liste des pièces à déposer ;
  • Les fournisseurs déposent les pièces directement dans la plateforme ;
  • Vous recevez des notifications automatiques en cas de pièce manquante ou d’expiration imminente ;
  • Les relances partent automatiquement avant chaque échéance d'expiration ;
  • Chaque dépôt et chaque relance sont horodatés et conservés dans l'historique du tiers.

Votre tableau de bord affiche le taux de complétion par fournisseur, par thématique et par entité, pour évaluer l’état de la conformité tiers en un coup d’œil.

2. Comment s'assurer que les documents déposés par nos fournisseurs sont authentiques ?

Les pièces vérifiables par voie électronique sont directement contrôlées via les API gouvernementales. C’est notamment le cas de l’attestation URSSAF, du Kbis, de l’immatriculation INSEE, etc.

Les pièces qui ne disposent pas d'API de vérification sont contrôlées par les équipes de Provigis, qui en valident la cohérence et la conformité. C’est par exemple le cas des attestations d'assurance, des certifications et des documents étrangers.

Dans les deux cas, le résultat du contrôle est enregistré sur la fiche du tiers avec la source de vérification, la date et le statut. Si un document est rejeté, le fournisseur est notifié avec le motif de rejet et peut déposer une version corrigée.

3. Nos fournisseurs ne répondent pas aux demandes documentaires : que faire ?

Vos fournisseurs reçoivent des demandes documentaires de la part de chacun de leurs donneurs d'ordres, souvent par email, dans des formats différents, avec des interlocuteurs différents, ce qui peut constituer un goulot d’étranglement.

Provigis favorise l’adhésion de vos tiers fournisseurs, prestataires et sous-traitants grâce au principe de mutualisation. Ils déposent leurs documents une seule fois pour l’ensemble de leurs clients utilisateurs de la plateforme Provigis.

4. Comment prouver que nos diligences fournisseurs ont bien été réalisées ?

Chaque action réalisée sur la fiche d'un tiers dans Provigis est enregistrée : date de demande, date de dépôt, résultat du contrôle d'authenticité, motif de rejet le cas échéant, relances envoyées et mises à jour effectuées.

Cet historique, téléchargeable au format PDF en un clic, constitue la piste d'audit que l'inspection générale ou un régulateur pourra consulter.

5. Comment empêcher une commande vers un fournisseur dont le dossier de conformité est incomplet ?

Provigis s'intègre avec les principaux ERP et SRM du marché (SAP Ariba, Coupa, Ivalua, Jaggaer, Cegid, entre autres). Vous pouvez conditionner l'émission d'un bon de commande à la complétude du dossier de conformité du tiers concerné, et ainsi bloquer toute commande vers un fournisseur non conforme.

6. Tous nos fournisseurs ne présentent pas le même risque : comment prioriser les vérifications ?

Le module Provigis Risk Pilot (PRP) permet de segmenter votre portefeuille fournisseurs par niveau de risque, en fonction de critères que vous définissez, par exemple :

  • Pays d'implantation ;
  • Montant du contrat ;
  • Nature de la prestation ;
  • Exposition à la corruption, etc.

Vous pouvez donc déclencher des vérifications adaptées au niveau de risque, par exemple une collecte documentaire standard pour les tiers à faible risque et des questionnaires approfondis/screening renforcé pour les tiers les plus exposés (sanctions, PPE, adverse media…)

Vous souhaitez fiabiliser votre dispositif de conformité tiers et optimiser l'anticipation de vos risques fournisseurs ? Réservez votre démo personnalisée !

Temps de lecture
16 min
Nous suivre
L’actu de Provigis

Abonnez-vous à notre newsletter pour recevoir nos dernières actualités.