Accueil / blog / Le mythe des audits de suivi

Le mythe des audits de suivi

Au début de ma carrière d’auditeur interne, j’étais toujours très fier de mes rapports, particulièrement de mes conclusions et de mes recommandations. La soumission d’un nouveau rapport était donc une source de satisfaction pour moi. Toutefois, il n’y avait rien de plus démoralisant que de découvrir, lors de l’audit de suivi, que les recommandations ou les plans d’action que j’avais minutieusement élaborés étaient restés sans suite. Après tout, le management avait accepté les mesures correctives proposées (ou avait proposé les siennes) pour rectifier les problèmes identifiés lors de mes audits. Alors comment expliquer ce manque de suivi ?

Le management avait toujours une bonne excuse pour justifier pourquoi les problèmes « n’avaient pas été résolus » :

  • « Nous avions sous-estimé la complexité des mesures que nous avions accepté de prendre. »
  • « Nous n’avions pas réalisé le temps qu’il faudrait pour mettre en œuvre les mesures promises. »
  • « Les circonstances ont changé, et les mesures convenues ne sont plus appropriées. »
  • « Il s’est avéré que nous n’avions pas les ressources nécessaires pour rectifier les problèmes. »
  • « Le chien a mangé nos documents, etc. »

J’ai fini par redouter les audits de suivi, parce que leurs résultats étaient trop souvent décevants. Lorsque je suis devenu responsable d’audit interne, j’ai même remis en cause la valeur de ces audits de suivi qui, d’après moi, constituaient rarement une utilisation efficiente des ressources de l’audit interne. En fin de compte, qu’est-ce qui profite le plus à l’organisation : s’attaquer à de nouveaux domaines à haut risque ou réexaminer des questions auxquelles des ressources avaient déjà été affectées seulement quelques mois auparavant ? En réalité, même quand les problèmes identifiés avaient été résolus, j’avais toujours le sentiment que mes ressources limitées auraient pu être employées à meilleur escient.

Je travaillais comme auditeur pour le gouvernement américain à l’époque, ce qui limitait mes options. Les audits de suivi nous étaient imposés par nos normes professionnelles et les réglementations. Par chance, aujourd’hui les Normes internationales pour la pratique professionnelle de l’audit interne de l’IIA nous laissent une plus grande marche de manœuvre. L’attention s’est déplacée des réalisations (audits de suivi) vers les impacts (utilisation appropriée des constats et des recommandations de nos rapports).

La Norme 2500 de l’IIA – Surveillance des actions de progrès couvre les responsabilités des auditeurs internes relatives à l’utilisation des constats et des recommandations :

Le responsable de l’audit interne doit mettre en place et tenir à jour un système permettant de surveiller les suites données aux résultats communiqués au management.

2500.A1 –– Le responsable de l’audit interne doit mettre en place un processus de suivi permettant de surveiller et de garantir que des mesures ont été effectivement mises en œuvre par le management ou que la direction générale a accepté de prendre le risque de ne rien faire.

Le terme « audit de suivi » n’apparait nulle part dans le texte de la norme. Il est question du « processus de suivi ». Le guide de mise en œuvre de la Norme 2500 de l’IIA fournit beaucoup plus de détails sur la conception et la mise en oeuvre de ce processus. Le guide recommande, à juste titre, que pour élaborer ce processus, il est préférable que les auditeurs internes « sollicitent l’avis du management sur les modalités de mise en œuvre d’un processus de surveillance efficace et efficient. »

Le guide précise que le processus de surveillance peut être « sophistiqué ou simple » selon la taille et la complexité de la fonction d’audit interne et de l’organisation.

Il propose des alternatives claires aux audits de suivi obligatoires qui ont donné du fil à retordre à beaucoup d’entre nous par le passé. En effet, il stipule :

 « certains responsables de l’audit interne pourront choisir de renseigner régulièrement, une fois par trimestre par exemple, l’état d’avancement de l’ensemble des mesures correctives qui auraient dû être achevées à cette période. D’autres privilégierons des missions de suivi régulières pour les audits comportant des recommandations majeures, dans l’objectif d’évaluer précisément la qualité des mesures correctives mises en oeuvre. D’autres encore pourront décider de suivre les plans d’actions dans le cadre de missions programmées dans le même domaine. L’approche déterminée sera fonction du niveau de risque estimé, ainsi que des ressources disponibles. »

Selon le guide, certains responsables de l’audit interne peuvent toujours décider de réaliser des audits de suivi, particulièrement lorsque des risques importants ont été signalés dans les conclusions de missions précédentes. Je reconnais également que, dans certains cas, le management, le comité d’audit ou les régulateurs peuvent demander à l’audit interne d’effectuer périodiquement des audits de suivi. Dans ces cas précis, je recommande d’adopter une approche pratique afin d’utiliser au mieux les ressources limitées de l’audit interne. Avant de programmer la mission, je me poserais les questions suivantes :

  • Le management a-t-il indiqué que les actions correctives ont été effectuées ?Je ne commencerais jamais un audit de suivi sans avoir d’abord demandé au management : « Avez-vous effectué les actions correctives qui avaient été convenues ? ». Si ce n’est pas le cas, il faut probablement demander pourquoi les actions correctives ont pris du retard, mais il est encore trop tôt pour un audit de suivi. Ce dernier est inutile lorsqu’on sait déjà que quelque chose est toujours « défectueux ».
  • Le management du domaine audité a-t-il déjà essayé de tromper l’audit interne sur la mise en œuvre d’actions correctives ou sur d’autres questions d’audit ? Dans l’affirmative, il s’agit évidemment d’une sirène d’alarme qui justifie totalement un audit de suivi. Cependant, si votre client est digne de confiance, et si vous entretenez une relation sincère et ouverte avec lui, il n’est pas exclu de le croire s’il affirme que les actions correctives ont été entreprises. Si des risques particulièrement importants sont en jeu, il vous est toujours possible d’effectuer un suivi sélectif, ou sur la base d’un échantillon, pour vérifier si les affirmations du management sont exactes.
  • Les actions correctives étaient-elles si complexes qu’elles risquaient de faire surgir des problèmes inattendus ? C’est lorsque les processus sont modifiés que les dispositifs de contrôle ont le plus de chance de dysfonctionner ; et quand des modifications complexes y sont apportées, un examen supplémentaire peut s’avérer nécessaire. Mais si les actions correctives prévues sont relativement simples, les erreurs sont moins probables et un suivi n’est pas nécessairement indiqué.
  • Est-il probable que vous tombiez à nouveau sur les mêmes problèmes ?  Si vous connaissez bien vos clients, vous connaissez sans doute quelques managers qui ont tendance à commettre les mêmes erreurs ou qui semblent ne pas attacher beaucoup d’importance aux dispositifs de contrôle interne. Quand le client est enclin à faire des erreurs ou à récidiver, les risques sont plus élevés. Toutefois, si les opérations sont bien contrôlées et si le client indique que des actions correctives ont été entreprises, un audit de suivi peut être évité.
  • L’audit de suivi est-il requis par le comité d’audit ou par la réglementation ? Comme mentionné plus haut, certains comités d’audit exigent des audits de suivi, particulièrement lorsque des risques élevés ont été constatés. Si le responsable de l’audit interne estime que cette exigence entraîne une utilisation inefficiente des ressources de l’audit interne, je conseille vivement qu’il ait une conversation franche avec le management et le comité d’audit pour attirer leur attention sur les alternatives présentées dans le guide de mise en œuvre de la Norme 2500.  Mais la décision finale ne nous appartient pas, elle appartient au conseil d’administration.

Si, après examen, les audits de suivi paressent justifiés pour la plupart, il vous faut alors vous demander pourquoi les plans d’action de votre organisationn’aboutissent pas. Vos recommandations étaient-elles trop vagues ? N’étaient-elles pas assez persuasives ? Avez-vous ignoré le management ou n’avez-vous pas pris ses objections au sérieux ? Les recommandations ou les plans d’action manquent-ils de clarté ou ne sont-ils pas assez spécifiques ? Y a-t-il une culture de non-conformité au sein de l’organisation ?

Il est manifestement préférable de trouver plusieurs fois les mêmes erreurs que de ne pas les voir du tout et, parfois, cela peut indiquer qu’un audit de suivi est nécessaire. Mais constater que les mêmes problèmes se reproduisent est un échec pour l’audit interne autant que pour le management. Si nous avons souvent besoin d’audits de suivi pour mener à bien notre mission, il faut en déterminer la cause. Mieux vaut prévenir les défaillances du suivi plutôt que de les détecter quand il est trop tard.

Il est temps de reconnaître que le but n’est pas de réaliser autant d’audits de suivi que possible. L’objectif est de s’assurer que les actions correctives sont mises en œuvre et qu’un système de surveillance est en place pour permettre cette assurance.

Comme toujours, ce blog reflète mes opinions et ne devrait pas se substituer aux lignes directrices de l’IIA. J’espère néanmoins qu’il vous incitera à reconsidérer tout processus obsolète qui pourrait être présent dans votre organisation.

Vos commentaires sont les bienvenus.

A propos Richard CHAMBERS

Richard CHAMBERS
Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d’audit interne.