À l’occasion des 60 ans de l’association, des adhérents nous parlent de leur parcours et de ce que l’IFACI a pu leur apporter très concrètement. Clémence de Vries, qui travaille depuis 25 ans dans les métiers du risque, du contrôle et de l’audit interne, en ayant été notamment Chief Risk and Compliance Officer, évoque les grands défis, passés et à venir, de nos métiers et le rôle que joue l’association au quotidien auprès des professionnels.
Pouvez-vous nous parler de votre parcours et de votre rôle actuel ?
Clémence de Vries : J’ai à l’origine une formation en gestion, orientée comptabilité, droit et systèmes d’information. Cela fait maintenant 25 ans que je travaille dans l’audit interne, le contrôle interne et la gestion des risques. J’ai commencé en audit interne, plutôt axé amélioration de processus. J’ai poursuivi à la direction de projet finance informatique, avec toujours pour objectif l’amélioration des outils, puis celle des organisations. J’ai ensuite évolué vers la gestion des risques, avec une approche qui, à l’époque, n’existait pas encore vraiment, qui combinait contrôle interne, audit interne et gestion des risques. Tout en m’occupant aussi de compliance, et avec un passage par l’audit financier Sarbanes Oxley (SOX). Dans mon dernier poste, j’ai été pendant 6 ans Chief Risk and Compliance Officer, en charge du contrôle interne du groupe, incluant toute la partie risques et compliance. Et je menais parfois des audits quand c’était nécessaire, donc avec une palette complète de mise en oeuvre, la RSE faisant également partie de mon périmètre.
Quels sont les grands défis de votre métier aujourd’hui ?
C.d.V. : Le premier défi, c’est de ne pas « faire de la conformité pour la conformité ». C’est-à-dire être utile et démontrer que l’on apporte de la valeur à l’entreprise. Les métiers de l’audit et du contrôle sont souvent vus comme des empêcheurs de tourner en rond, alors que c’est tout de même un peu plus que ça ! Nous avons une vision globale et nous arrivons à être des experts de l’activité de l’entreprise. Il y a un vrai défi pour notre profession de savoir valoriser cette expertise et d’apporter aux directions générales et opérationnelles notre analyse qui doit servir la stratégie de l’organisation.
Un second défi est lié aux enjeux technologiques. Bien entendu, tous les nouveaux outils, notamment d’intelligence artificielle qui aident à améliorer la productivité. Mais qui s’accompagnent aussi de risques liés à la fraude, qui devient d’autant plus complexe à déjouer. Il faut savoir se servir des technologies pour faire du data mining, du process mining, gérer de gros volumes de données afin d’identifier des schémas inhabituels. Et bien sûr aller faire ce que l’on appelle le « profit recovery »1.
« Le décloisonnement entre les métiers a vraiment progressé »
Un autre défi important, est d’arriver à arrêter de travailler en silos. Ce à quoi oeuvre d’ailleurs l’IFACI. Historiquement, il y avait l’audit d’un côté, le contrôle interne d’un autre, et enfin les directions des risques. Aujourd’hui, il est indispensable être polyvalent et agiles, d’autant plus avec l’ajout actuel des dimensions extra-financières et des analyses de double-matérialité. Il y a une véritable synergie à mettre en place dans nos métiers d’audit et de contrôle internes pour travailler avec les équipes risques et les équipes RSE. Afin de rendre l’exercice fluide, chacun ayant son rôle à jouer. Je pense que les choses vont dans le bon sens.
Le prochain défi que je vois aussi, est celui de l’inflation réglementaire, l’empilement des normes, notamment au plan international. Là aussi l’IA peut nous aider à assurer la veille nécessaire, c’est d’ailleurs ce que propose l’IFACI avec GAIA.
Et enfin, qui dit contrôle interne, audit interne, gestion des risques, dit d’aller regarder comment les équipes opérationnelles font leur travail, et les conseiller sur des nouvelles méthodes ou approches parfois. Il faut donc faire preuve de beaucoup de diplomatie, de beaucoup d’imagination dans la manière dont on communique.
Comment votre profession a-t-elle changé ces dernières années ?
C.d.V. : Nous l’avons évoqué, le décloisonnement entre les métiers a vraiment progressé, avec une plus forte cohésion des différents rôles autour de la compliance, notamment. On voit de plus en plus, et dans la réglementation, et dans la façon dont nos métiers s’exercent, une approche par les risques, qui devient indispensable. Cela avait commencé avec Sapin 2, puis la DPEF, la CSRD, Taxinomie, etc. Il y a vraiment aujourd’hui des synergies entre les risques, l’audit interne et le contrôle interne. C’est une réelle évolution, en bien.
Avec les cadres de référence de l’audit interne, du contrôle interne, les différents référentiels de Risk Management et ceux liés aux SI, l’approche est devenue bien plus cohérente.
Dans nos cartographies des risques, on arrive à avoir des échelles comparables entre l’évaluation des risques financiers, celle des risques extra-financiers, des risques cyber, de sécurité des systèmes d’information… C’est une évolution ultra-positive de ces dernières années. Et on le voit aussi dans les trois lignes de maîtrise qui ont évolué. Ce n’est plus un cadre rigide d’audit, c’est vraiment un cadre opérationnel dans l’entreprise, qui nous permet plus facilement qu’avant d’apporter de la valeur et de la montrer.
Quelles sont les compétences indispensables pour réussir dans votre domaine ?
C.d.V. : Il faut d’abord être rigoureux, à la limite du pointilleux, assez rationnel, et organisé. Mais il faut aussi être extrêmement curieux, parce que travailler seul dans son coin, ça ne fonctionne pas. Il faut s’intéresser à l’activité de l’entreprise, aux métiers, aux gens, aller sur le terrain et être diplomate. Une autre compétence qui me semble indispensable, c’est d’avoir envie de trouver des solutions plutôt que de faire uniquement des constats.
« L’IFACI apporte un soutien très concret, très bénéfique »
En quoi l’IFACI apporte-t-il un soutien concret aux auditeurs et contrôleurs internes ?
C.d.V. : L’IFACI, c’est d’abord l’organisme de référence pour l’audit interne en France, pour les normes du métier, de la profession.Mais il y a aussi une importante base documentaire, des outils… Avec l’accès à des bonnes pratiques, par exemple des chartes ou des méthodologies d’audit, ou bien des éléments méthodologiques qui sont vraiment bien faits. Cela n’a pas de prix, car il peut être difficile de rassembler ces éléments lorsque l’on est seul.
Il y a également toute la dimension réseau, avec notamment les réunions mensuelles qui ont pour moi énormément de valeur. L’IFACI apporte un soutien concret très bénéfique. Cela permet de rencontrer nos pairs, des gens qui font le même métier que nous, et qui peuvent partager des expériences similaires. L’IFACI réunit aussi bien le secteur public que le secteur privé, ce qui permet vraiment d’ouvrir des perspectives. Mon seul regret est que les réunions mensuelles soient dorénavant en visio et non plus en présentiel.
Et puis, il y a GAIA, qui est vraiment une superbe idée. J’ai assisté à une journée de présentation récemment avec les développeurs2 : c’est un vrai plus que l’IFACI mette cet outil à disposition de ses adhérents.
Quelle est, selon vous, l’impact et la valeur ajoutée de votre métier pour les entreprises ?
C.d.V. : la première valeur de notre métier réside dans le fait que l’on connaît toute l’entreprise, toute la chaîne d’activités et on est capable d’être un conseiller, un vrai partenaire des opérationnels. L’image que j’aime bien prendre, c’est que je vois mon métier comme le régulateur de vitesse dans la voiture, plutôt que le radar qui va la flasher. Le régulateur connaît le code de la route et va vous dire : « Attention, tu dépasses la vitesse », mais vous avez le choix de ne pas l’écouter et de dépasser la vitesse . Au risque de croiser la route du gendarme qui sanctionnera…
C’est bien le top management qui, selon son appétence au risque, selon les enjeux qu’il se fixe, décide du niveau des limites qu’il veut poser, tout en restant dans les clous de la légalité bien entendu. Il y a ensuite des organes de contrôle et de régulation externe qui sont là pour s’assurer que les limites ne sont pas franchies. C’est un vrai rôle d’accompagner ainsi les opérationnels et la stratégie, qui donne de la valeur à notre métier.
Quels sont les évolutions et transformations que vous anticipez dans les prochaines années ?
C.d.V. : Il va y avoir de plus en plus d’automatisation dans les contrôles, des détections d’anomalies, et il va falloir savoir gérer tous les outils informatiques mis à disposition, que ce soit du data mining, du process mining, de l’intelligence artificielle. Pour pouvoir vraiment se concentrer sur la valeur de ce que l’on retire de ces systèmes. Ça, c’est une transformation qui est déjà en marche. À mon sens, ce sera très bénéfique pour nos professions.
Un autre défi que je perçois est que, très souvent, dans nos métiers, nous débutons en cabinet, comme simples auditeurs, pendant 3 à 4 ans. Mais il y a aujourd’hui une vraie crise de recrutement chez les big four car les jeunes diplômés ne les voient plus comme un passage obligé, à tort ou à raison. Ce qui va entraîner une transformation en profondeur, je pense, dans les prochaines années. Dans les entreprises, il n’y aura plus forcément de personnes qui soient passées dans leurs jeunes années par ce cadre extrêmement rigoureux, normé, cadré. Et est-ce qu’elles seront aussi pointues, exigeantes, rigoureuses qu’il y a quelques années ? Il y aura sans doute plus de personnes qui viendront de l’opérationnel, et qu’il faudra alors former au métier d’auditeur.
« L’IFACI a vraiment su se renouveler et anticiper les évolutions des métiers »
Quel conseil donneriez-vous à un professionnel qui débute dans ce secteur ?
C.d.V. : De travailler. C’est un peu comme quand on apprend à jouer du piano ou du violon, il faut en général maîtriser le solfège avant de pouvoir jouer. Quand on débute dans l’audit ou le contrôle internes, il faut connaître les règles, pour ensuite être capable de prendre de la hauteur et de bien juger de la pertinence de ce que l’on contrôle et de celle de nos recommandations. Pour que, justement, celles-ci constituent la valeur ajoutée dont nous parlions.
Il faut aussi être capable de bien connaître le contexte dans lequel on évolue et celui de l’entreprise. Il faut aller sur le terrain, côtoyer les opérationnels, s’asseoir avec eux à leur poste, qu’ils montrent leur métier. L’audit réalisé depuis sa tour d’ivoire, cela me semble fini. Et c’est passionnant, en fait, de faire ce métier-là avec les opérationnels, parce que c’est comme cela que l’on connaît vraiment l’entreprise de l’intérieur.
Et puis, c’est très important d’enrichir ses connaissances, de profiter de sessions de réseau, de benchmark, de conférences, de tout ce qui peut nous nourrir d’autres expériences, d’autres types d’entreprises.
Enfin, je dirais qu’il est important de se connaître aussi soi-même, de savoir quel type de personne l’on est et de se poser la question : est-ce que je suis bien dans le bon métier ? Mais j’imagine que c’est vrai pour toutes les professions.
Un message pour célébrer les 60 ans de l’IFACI ?
C.d.V. : Déjà, bon anniversaire ! Soixante ans, c’est un bel âge. Et loin de la retraite pour l’IFACI, je pense. Ce qui est formidable, c’est que l’IFACI a vraiment su se renouveler et anticiper les évolutions des métiers, et développer cette synergie entre audit, contrôle et gestion des risques que l’on vit au quotidien. On sent que la gouvernance est solide, active et agile. C’est précieux. Il y a une vraie communauté au service des adhérents et qui s’enrichit au contact de ses membres. Avec tous ces atouts, nous sommes repartis pour soixante ans !
1 Le « profit recovery », ou recouvrement des profits, désigne l’ensemble des démarches entreprises par une organisation pour identifier et récupérer des sommes indûment perdues, souvent en raison d’erreurs comptables, de doublons de paiements, ou d’anomalies contractuelles.
2 Le IFACI Challenge 2025 s’est tenue le 22 mai https://www.ifaci.com/actualites-blog/ifaci-challenge-2025-travailler-en-equipe/
