Accueil / blog / Cinq évolutions futures qui pourraient améliorer le positionnement de l’audit interne

Cinq évolutions futures qui pourraient améliorer le positionnement de l’audit interne

J’ai beaucoup écrit sur ce que les auditeurs internes doivent faire pour développer leur capacité, et celle de la profession, à préserver et accroître la valeur de leurs organisations. Alors que le panorama des risques évolue et que leur vitesse augmente, les auditeurs internes doivent acquérir de nouvelles compétences, mettre leurs processus à jour et gagner en flexibilité, agilité et réactivité face aux menaces disruptives et aux risques émergents.

Bien entendu, l’audit interne ne peut atteindre ces objectifs seul. Après tout, il ne représente qu’une partie d’un processus complexe de gouvernance qui s’appuie sur d’autres composantes, y compris les risk managers, la direction générale et le Conseil. Une bonne gouvernance implique que toutes ces composantes soient aussi efficaces et efficientes que possible. Elle requiert un respect mutuel, mais aussi une compréhension et une reconnaissance du rôle joué par chacune d’elles.

On m’interroge souvent sur le futur de l’audit interne et sur les leviers de son ascension continue au statut de composante essentielle de la structure de contrôle et de management des risques d’une organisation. Les auditeurs internes du monde entier sont, depuis trop longtemps, entravés par des contraintes organisationnelles, qui se traduisent notamment par une indépendance, des accès et des ressources limités. Il est temps d’en faire clairement état, de décrire comment elles affectent l’efficacité de l’audit interne et d’expliquer ce qu’il est possible de faire pour les éliminer.

Même s’il ne s’agit que de mon opinion personnelle, et non pas nécessairement de la position officielle de l’IIA, je pense qu’au moins cinq évolutions futures méritent d’être examinées et débattues.

Avoir une fonction d’audit interne : une condition nécessaire pour être coté en bourse

La plupart des sociétés cotées ont une fonction d’audit interne. Mais beaucoup de sociétés de petite taille, ou venant d’être créées, n’en ont pas. Les sociétés cotées à la bourse de New York doivent avoir une fonction d’audit interne, contrairement à celles du Nasdaq. Il est regrettable que les investisseurs ne puissent pas savoir si une société dispose ou non d’une fonction d’audit interne, parce qu’il n’existe aucune obligation d’en faire mention dans les documents officiels.

Lorsque des sociétés cotées financent et soutiennent une fonction d’audit interne indépendante, saine et robuste, elles s’engagent à adopter une approche systématique et méthodique d’évaluation et d’amélioration de l’efficacité des processus de management des risques, de contrôle et de gouvernance. Sans cet engagement, les investisseurs sont amenés à se demander comment le Conseil et la direction générale peuvent obtenir une assurance indépendante et objective ainsi qu’un éclairage sur la manière dont les risques sont gérés.

Lorsqu’une organisation, cotée ou non, ne procède pas à une évaluation indépendante et objective de son management des risques, le Conseil doit s’en remettre à la direction pour obtenir cette assurance. En soi, un système d’autoévaluation est sujet à la manipulation et à la tromperie. Sans l’audit interne, la direction peut essayer de se convaincre elle-même, ainsi que le Conseil d’administration, que tout va bien.

Bien que l’existence d’une fonction d’audit interne ne garantisse pas la réussite d’une organisation, son absence suggère que la direction ne voit pas l’intérêt d’obtenir l’assurance que les dispositifs de management des risques, de contrôle interne et de gouvernance sont solides et efficaces. C’est un risque que l’organisation s’impose et les investisseurs devraient en être informés. À l’avenir, les sociétés cotées devraient être tenues d’avoir une fonction d’audit interne, ou, a minima, indiquer qu’elles n’en ont pas.

L’audit interne doit être rattaché à la direction générale

Un rattachement approprié est indispensable au bon fonctionnement de l’audit interne. La Norme de l’IIA 1110 – Indépendance de l’organisation explique clairement l’importance d’un rattachement direct au sein de l’organisation « qui permette à la fonction d’audit interne d’exercer ses responsabilités. »

Cela se traduit par un rattachement fonctionnel au Conseil d’administration et un rattachement administratif à la direction générale. La plupart des organisations apprécient la valeur de ce double rattachement et y sont favorables, bien que le cumul des rôles de président et directeur général le remette en question.

Mais l’efficacité du double rattachement est menacée lorsque le responsable de l’audit interne est rattaché à une personne autre que le directeur général, comme par exemple le directeur financier ou le responsable du management des risques. Avec plus de quarante ans d’expérience dans le métier, j’ai pu observer une corrélation incontestable entre le niveau de rattachement hiérarchique de l’audit interne et son positionnement au sein de l’organisation. La réserve fédérale des Etats-Unis a pris la bonne décision en décidant que les fonctions d’audit interne des grandes institutions financières, dont elle a la responsabilité, doivent être rattachées administrativement à la direction générale ou, si ce n’est pas le cas, le comité d’audit doit en expliquer la raison.

L’indépendance est la clé de voûte de l’audit interne et tout ce qui menace, ou semble menacer, son impartialité nuit à son efficacité et à sa crédibilité.

Le Conseil d’administration/le comité d’audit doit directement superviser le recrutement, le licenciement, l’évaluation et la rémunération du responsable de l’audit interne.

L’interprétation de la Norme 1110 explique l’importance du rôle du Conseil d’administration pour protéger l’impartialité et l’objectivité de l’audit interne. Celui-ci consiste, notamment, à approuver la charte d’audit interne, le plan d’audit interne fondé sur une approche par les risques ainsi que le budget et les ressources prévisionnels de l’audit interne.

Il est également fait mention du rôle du Conseil d’administration dans la nomination, la révocation et la rémunération du responsable de l’audit interne. Toutefois, cette responsabilité est trop souvent ignorée ou déléguée à la direction par des administrateurs et des comités d’audit trop occupés pour le faire eux-mêmes. Cette pratique pourrait bien représenter la plus grande menace pour l’indépendance de l’audit interne.

Le double rattachement a pour but de protéger l’indépendance de l’audit interne en créant un garde-fou contre des limitations inappropriées du périmètre ou des ressources de l’audit interne. Il reconnaît que la direction peut influencer l’efficacité et l’indépendance de la fonction en manipulant la manière dont le responsable de l’audit interne est recruté, licencié et rémunéré. Lorsque le Conseil d’administration, ou le comité d’audit, permet à la direction d’assumer ces responsabilités et approuve les yeux fermés ses recommandations pour le poste de responsable de l’audit interne, l’indépendance de l’audit interne est menacée. Il est encore plus décevant de constater l’absence fréquente des comités d’audit du processus d’évaluation de la performance des responsables de l’audit interne et de la détermination de leur rémunération, y compris la rémunération variable comme les primes de performance.

Les comités d’audit doivent assumer leurs responsabilités concernant les responsables de l’audit interne. Après tout, « vous travaillez pour ceux qui vous payent ! ».

L’audit interne devrait aider le comité d’audit à superviser les auditeurs externes.

Ce point en surprendra plus d’un. Je ne dis pas que les auditeurs internes doivent auditer les auditeurs externes. En effet, l’indépendance de ces derniers est cruciale pour préserver la confiance dans les marchés financiers. Et pourtant les comités d’audit ont l’obligation de superviser les auditeurs externes. Les auditeurs internes peuvent les y aider, particulièrement quand il s’agit de vérifier si les auditeurs externes respectent bien les conditions de leur contrat et si leurs honoraires sont correctement calculés et facturés. Si le comité d’audit délègue ces responsabilités à la direction, l’indépendance des auditeurs externes pourrait, en apparence, être compromise.

L’audit interne devrait avoir un siège permanent autour de la table.

La plupart des domaines de l’organisation ont leur champion au Conseil d’administration. La fonction finance a le directeur financier, la fonction SI a le directeur des systèmes d’information (DSI) et la fonction management des risques a le responsable du management des risques. Mais souvent, l’audit interne n’est pas représenté.

En presqu’un siècle d’audit interne moderne, la profession a évolué du stade de simple prestataire d’assurance en matière de reporting financier à celui de contributeur à part entière au succès de l’organisation. Et pourtant le responsable de l’audit interne est rarement considéré comme un « vrai » membre de la direction générale.

Dans mon livre, Trusted Advisors: Key Attributes of Outstanding Internal Auditors,je  définis  la confiance comme « une profonde croyance en la fiabilité, la vérité, la capacité ou la force de quelqu’un ou de quelque chose ». Quand il dispose de ressources suffisantes et quand on lui permet d’exercer ses activités de manière indépendante, l’audit interne est tout cela à la fois : fiable, honnête, capable et fort.

Une fonction d’audit interne forte et efficace, dirigée par un responsable expérimenté, devrait être reconnue comme un acteur respecté et essentiel d’une bonne gouvernance, et bénéficier du positionnement qui en découle, ce qui implique un siège permanent à la table des dirigeants.

Comme toujours, vos commentaires sont les bienvenus.

A propos Richard CHAMBERS

Richard CHAMBERS
Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d’audit interne.