Accueil / blog / L’audit interne doit établir des liens pour faire la lumière

L’audit interne doit établir des liens pour faire la lumière

Je suis toujours content quand un de mes articles de blog suscite une vive réaction, qu’elle soit en accord avec mes opinions ou les contredise. La série de blogs « A propos de la profession » est censée être une caisse de résonance pour les auditeurs internes, et leurs différents points de vue sont toujours les bienvenus. L’article de la semaine dernière, intitulé « La direction générale doit aller au-delà du simple coup d’œil sur les rapports d’audit interne », est un de ceux qui ont généré de nombreux commentaires, dont plusieurs ont remis en cause le postulat du blog. Cet article explique que le management doit faire plus que simplement accuser réception des rapports d'audit interne. Le management devrait faire suite à ces rapports, particulièrement quand il existe un risque clair et imminent pour l’organisation. Je crois que les exemples proposés illustrent des erreurs particulièrement flagrantes pour lesquelles l’inaction du management a finalement causé des préjudices financiers aux organisations concernées ou une atteinte à leur réputation. Le message secondaire de l’article était que les travaux de l’audit interne permettent d’accroître la transparence au processus de gouvernance, et que cette capacité à faire la lumière sur les forces et les faiblesses de la gouvernance est au cœur de la valeur ajoutée que l’audit interne apporte à l’organisation. Les commentaires des lecteurs portaient sur la responsabilité de l’audit interne d’être clair, concis et pertinent dans les rapports qu'il transmet à la direction générale et au Conseil. Après tout, comment la direction peut-elle faire suite aux recommandations de l’audit interne si ses constats sont noyés dans des analyses excessivement longues et inutilement complexes ? Pire encore, si la fonction d'audit interne ne comprend pas véritablement la stratégie et les objectifs de l’organisation, ses missions et ses observations pourraient être complètement faussées et de peu d’utilité pour l’organisation. J’ai écrit à plusieurs reprises sur les dangers encourus lorsque l’audit interne ne tient pas ses engagements. Dans Les 7 péchés capitaux de l’audit interne, j’ai donné une liste d’erreurs impardonnables, notamment la publication de rapports erronés et la présentation de documents de travail incomplets. Dans mon premier livre, Quelques leçons d’audit interne, j’ai indiqué clairement que la manière dont l’audit interne remet ses rapports est souvent aussi importante que le contenu de ces derniers. « Le contenu de nos rapports d’audit doit toujours apporter une valeur ajoutée à l’organisation, mais c’est la façon dont nous communiquons dans nos rapports qui détermine l’accueil réservé à ces constats et recommandations. Ce que nous percevons comme un reporting objectif peut parfois provoquer de la peur ou de la colère chez ceux que nous auditons. Ils peuvent avoir le sentiment que leur intégrité ou leur jugement est mis en doute. Ils peuvent aussi lire le rapport en se demandant “Comment mes supérieurs vont-ils réagir quand ils liront cela ?” Même s’ils ne considèrent pas que le rapport soit inutilement critique, ils pourraient trouver que leurs triomphes et leurs succès ont été négligés par un processus conçu pour mettre en évidence les lacunes et les vulnérabilités. Parfois, un peu de reconnaissance bien méritée peut compenser un grand nombre de critiques valables dans un rapport d’audit. » D’autres erreurs de l’audit interne signalées par mon excellent collègue, Norman Marks, dans son commentaire sur mon dernier article concernant les rapports d’audit sont tout aussi valables et pertinentes. Dans sa réponse, il explique : « Quand je vois un rapport de vingt pages ou plus, cela ne me surprend pas que les dirigeants ne parviennent pas à le lire rapidement et à agir en tenant compte de ses recommandations. Quand je vois un rapport d'audit avec une table des matières, je suis sûr qu'il sera lu par obligation, et non parce qu’il contient des points de vue exploitables. Quand je vois un rapport avec des recommandations et une réponse du management, je vois une équipe d'audit qui n’a pas réussi à collaborer avec le management pour convenir des actions à mener. Quand je vois un rapport qui parle des risques, mais pas de ce qu’ils signifient pour la stratégie et les objectifs de l’organisation, je vois un rapport qui a peu de chance de communiquer les informations dont la direction générale et le Conseil ont besoin. Quand je vois un rapport qui exprime l’opinion de l’audit interne plutôt que de présenter de manière claire et concise ce que les dirigeants veulent savoir, je blâme en grande partie l’audit interne. Quand je vois une fonction d'audit interne qui préfère se reposer sur un rapport d'audit formel et traditionnel au lieu d’avoir une discussion avec les dirigeants, je considère que celle-ci n’a pas sa place autour de la table et qu’elle ne joue pas son rôle de conseiller de confiance. » Chacune des observations de Norman est tout à fait exacte et similaire à des arguments que j’ai tenus. Je ferais cinq recommandations aux auditeurs internes sur la rédaction des rapports pour garantir que les résultats sont clairement transmis, et que des échecs significatifs en matière de contrôle ou de management des risques ne sont pas ignorés :
  • Assurez-vous d’échanger en permanence avec le management lors d’une mission d’audit, et mettez l’accent sur les observations et constats importants qui en ressortent.
  • Exprimez les situations, les causes et les conséquences de manière claire et concise dans le rapport écrit.
  • Résumez les principales observations dans une synthèse au début du rapport.
  • Réfléchissez à l’utilisation de notes de chaque constat ou de l’ensemble du rapport, en identifiant par exemple des situations « insuffisantes » ou « rouges », si un système de notation par couleur est utilisé.
  • Le rapport écrit ne doit jamais être votre dernier mot. Préparez des réunions d’information pour le management et le comité d'audit sur les résultats définitifs de la mission d'audit si le rapport révèle de graves lacunes en matière de contrôle ou de management des risques. Puis, assurez le suivi des mesures correctives et tenez informés le management et le comité d'audit, le cas échéant.
Chaque responsable de l'audit interne doit s’efforcer de créer une fonction d'audit interne hautement performante qui comprend la stratégie et les objectifs de l’organisation et qui envisage chaque mission en conséquent. Nous devons établir des liens entre tous ces éléments pour les dirigeants et administrateurs très occupés afin de leur donner une idée claire de la manière dont l’organisation gère les risques, et nous devons être prêts à faire la lumière sur les efforts restés vains. Ceci dit, il est absurde de rejeter automatiquement la faute sur l’audit interne quand le management ne fait pas suite à ses recommandations. En fin de compte, une bonne gouvernance s’appuie sur un partenariat entre de nombreuses fonctions au sein de l’organisation. Chacune d’entre elles doit s’acquitter de ses tâches en respectant les autres. Pour ce qui est des auditeurs internes, ils doivent immanquablement accomplir leur travail avec une précision exemplaire et un enthousiasme ciblé, éliminant ainsi toute raison de ne pas être pris au sérieux.   Richard Chambers Pour information Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.

A propos Richard CHAMBERS

Richard CHAMBERS
Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d’audit interne.