Normes d’audit interne : une seule option, s’y conformer

Cela fait plus de 40 ans que les premières normes d'audit interne ont été adoptées. Depuis lors, la profession a énormément mûri, et la multiplication des fonctions d’audit interne dans le monde entier a été remarquable. Les normes ont été revues et améliorées régulièrement et sont maintenant une composante essentiel du Cadre de référence international des pratiques professionnelles de l’IIA. Aucune profession digne de ce nom ne peut exister sans des normes auxquelles ses membres doivent se conformer. Le dictionnaire Merriam-Webster définit une norme comme « un niveau de qualité, de performance, etc., considéré comme acceptable ou souhaitable... des opinions concernant les comportements convenables et acceptables du point de vue de la morale. » C’est principalement en raison des Normes internationales pour la pratique professionnelle de l'audit interne de l'IIA que l’audit interne est désormais reconnu comme une profession à travers le monde. Malgré le caractère accessible des normes professionnelles d’audit interne, force est de constater que le niveau de conformité est décevant. Selon l’enquête du Common Body of Knowledge (CBOK) menée par la Fondation de l’audit interne de l’IIA en 2015, moins de 35% des responsables de l'audit interne sont en totale conformité avec les Normes de l’IIA relatives au programme d’assurance et d’amélioration qualité. Malgré une conformité souvent plus élevée avec les autres Normes, nous devons reconnaître que, comme le dit le proverbe, une chaîne est aussi solide que son maillon le plus faible. Ce qui est encore plus troublant, c’est que l’enquête CBOK a révélé que de nombreux responsables de l’audit interne qui ne respectent pas les Normes ne font pas état de leur non-conformité à leur comité d’audit ou aux autres organes de gouvernance. J’ai mené un rapide sondage sur Twitter en prévision de cet article et il en est ressorti que seuls 57% des répondants se considèrent en totale conformité avec les Normes. En toute franchise, la quête de l’audit interne pour être reconnu comme une profession est compromise par ce taux préoccupant de non-conformité aux normes professionnelles. Comme le souligne le rapport du CBOK : Certains estiment que l’audit interne ne sera pas reconnu universellement comme une profession à part entière tant que, d’une part, les auditeurs internes ne seront pas soumis à des normes obligatoires, et que, d’autre part, ils ne les mettront pas en œuvre et ne les respecteront pas de manière homogène. Au-delà des beaux discours sur la profession, la conformité avec les Normes a une incidence directe sur l’efficacité et le positionnement de chaque fonction d’audit interne. Les responsables de l'audit interne qui ne garantissent pas le respect des Normes s’exposent eux-mêmes ainsi que leur fonction à des risques. Le rapport du CBOK indique que « comparé aux autres participants à l’enquête CBOK, les responsables de l’audit interne qui déclarent se conformer aux normes professionnelles en matière de qualité :

• sont plus enclins à relever fonctionnellement d’un Conseil, d’un comité d’audit ou d’une autre entité similaire ;
• sont davantage susceptibles d’avoir accès sans restriction à toutes les informations dont ils ont besoin pour mener à bien leurs activités d’audit ;
• travaillent pour des organisations dont les processus de management des risques sont plus poussés ;
• font appel à un plus large éventail de ressources pour développer leurs plans d’audit ;
• mobilisent davantage les systèmes d’information dans le cadre des procédures d’audit interne ;
• ont davantage tendance à s’appuyer sur des procédures consignées dans un manuel d’audit interne ;
• ont plus d’heures de formation et sont davantage susceptibles de bénéficier de programmes de formation formalisés ;
• sont plus enclins à juger entièrement suffisants les budgets de la fonction d’audit interne. »

Pendant ma carrière, j’ai mené de nombreuses évaluations de la qualité de fonctions d'audit interne — que ce soit des fonctions composées de deux personnes dans l’administration ou des fonctions d'audit de sociétés du Fortune 500 comptant des centaines d’auditeurs internes. Je peux affirmer qu’il existe, sans équivoque, une corrélation directe entre la conformité aux Normes et la manière dont le responsable de l'audit interne et la fonction sont perçus et reconnus par leurs parties prenantes. Les responsables de l'audit interne qui ne garantissent pas cette conformité ne répondent généralement pas totalement aux attentes des parties prenantes. Les fonctions qui ne sont pas en conformité génèrent souvent des résultats d’audit qui ne sont ni fondés sur une approche par les risques, ni produits en temps utile, ni exacts. Les responsables de l'audit interne qui dirigent ces fonctions ne sont pas considérés comme des « conseillers de confiance » et reconnaissent n’être jamais sollicités pour répondre à des questions et des demandes de la part des parties prenantes. Si la non-conformité ou une conformité sélective aux Normes peut se révéler opportune à court terme, elle peut s’avérer être une stratégie désastreuse à long terme. En effet, dans le contexte économique actuel, volatile et dynamique, les parties prenantes exigent des fonctions d’audit interne un haut niveau de performance combiné à une conformité aux Normes. Ceux qui ne donnent pas satisfaction sont condamnés à être marginalisés dans leur organisation, et même pire. Je conseille à tous les responsables de l’audit interne qui ne sont pas en conformité de revoir leur position. Comme toujours, vos remarques sont les bienvenues. Richard Chambers Pour information Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.