12 mai 2020
Lecture 8 mn
Promouvoir la valeur ajoutée de l'audit interne au coeur des missions
La valeur ajoutée des missions de l’audit interne peut reposer sur plusieurs facteurs : le plan d’audit, les processus, les outils utilisés, la cartographie des risques, mais aussi pour une bonne part sur la communication, comme nous l’explique Rym Madiouni, Directrice du contrôle interne, de la gestion des risques et de l’audit interne du groupe Rexel.
Propos recueillis par Joanna Henni et Jean-François Moruzzi
Pourriez-vous vous présenter et nous parler de votre poste actuel ?
Rym Madiouni : Après HEC (majeure finance) et une année de césure chez HSBC en fusion-acquisition, j’ai travaillé deux ans et demi en Transaction Services chez Accuracy. J’ai ensuite intégré le groupe Rexel en 2008 où j’ai exercé plusieurs fonctions financières avant de rejoindre l’audit interne en novembre 2017 d’abord en tant que Directrice adjointe, puis en tant que Directrice de l’audit interne. En juillet 2019, j’ai été nommée Directrice du contrôle interne, de la gestion des risques et de l’audit interne.
Comment êtes-vous organisés au sein de votre Groupe ?
R.M. : Rexel est présent sur 4 continents et dans 26 pays. C’est une organisation décentralisée, avec des systèmes d’information différents d’un pays à un autre, ce qui rend le travail de l’audit interne assez exigeant. L’équipe dédiée à l’audit et au contrôle internes compte 26 personnes (7 ETP centraux en rattachement hiérarchique et 19 locaux). Les équipes locales me sont fonctionnellement rattachées tout en étant hiérarchiquement rattachées aux directions des pays ou zones géographiques. Je reporte pour ma part en termes fonctionnels au comité d’audit et des risques du Groupe et en lien hiérarchique au Directeur financier. L’un des défis d’un groupe international tel que le nôtre est de veiller à ce que nous, au siège, ayons une vision claire de ce qui se passe dans tous les pays.
Selon vous, où réside principalement, au cœur de vos missions, la valeur ajoutée de l’audit interne ?
R.M. : Pour ma part, je considère qu’il existe essentiellement trois types de missions d’audit interne à forte valeur ajoutée : celles qui relèvent de « l’audit d’assurance », pour donner une opinion au management et au comité d’audit et des risques sur le degré de maîtrise des opérations ; celles qui relèvent de « l’audit conseil », où nous étudions des axes d’amélioration ; et enfin celles relevant du « diagnostic », où nous donnons à la direction une vision claire des différentes pratiques dans nos entités, ce qui peut s’avérer précieux dans le cadre d’une organisation décentralisée comme la nôtre.
En ce qui concerne ce que vous appelez « l’audit d’assurance », quelles sont pour vous les principales activités à valeur ajoutée ?
R.M. : Si l’on commence logiquement par la définition du plan d’audit, je dirais que chez nous, il est fondé sur une approche par les risques. De fait, mon implication dans la construction de la cartographie des risques du Groupe m’aide beaucoup, car nous allons nous baser sur cette connaissance de l’univers des risques pour bâtir notre plan d’audit. Ce type de synergies est d’ailleurs l’une des raisons qui ont poussé à fusionner les fonctions d’audit interne, de contrôle interne et de gestion des risques.
S’ajoutent à cela les retours des principales parties prenantes en interne qui nous apportent leur vision ou leurs questionnements. Comme nous sommes proches du comité exécutif et donc du centre des décisions stratégiques, nous utilisons aussi cet « axe stratégie ». En termes de valeur ajoutée, cela nous permet de définir un plan d’audit qui donne au management une assurance sur la maîtrise des risques mais aussi sur la capacité d’atteindre les objectifs stratégiques qui ont été définis. Chaque année, nous intégrons donc non seulement des audits de processus mais aussi des audits stratégiques en se focalisant sur un thème et sur certains pays pour identifier les meilleures pratiques et les axes d’amélioration, afin d’appuyer la stratégie Groupe.
Et une fois le plan d’audit approuvé ?
R.M. : Nous avons mis en place tout un processus de déroulement de mission. Nous informons les audités de notre intervention assez en avance afin de préparer notre arrivée. Nous envoyons une lettre de mission très claire, en précisant les objectifs, les dates d’intervention et les points clés qui seront couverts. Nous envoyons également au préalable une liste d’informations requises ainsi qu’un planning détaillé. Chez Rexel, une mission classique se déroule sur 6 semaines : 2 semaines de prépa- ration, 2 semaines sur le terrain et 2 semaines de finalisation du rapport. Sur place, le chargé de mission d’audit commence toujours par un travail de communication très important : une réunion d’ouverture pour communiquer clairement aux audités les objectifs, le déroulement de la mission et la méthodologie de l’audit afin d’éviter tout malentendu. Il s’agit aussi et surtout d’expliciter notre valeur ajoutée en tant qu’auditeurs internes : alors que, souvent, nous sommes perçus comme une force de police, l’enjeu est d’expliquer aux audités que notre rôle n’est pas de juger leur travail mais de les aider à identifier les axes d’amélioration et de les accompagner pour atteindre collectivement nos objectifs Groupe.
Lors de l’intervention sur le terrain, nous sommes attentifs à effectuer des points réguliers entre le chef de mission et les personnes clés de l’entité auditée (CEO, CFO, directeur achats, directeur juridique, etc.) pour s’assurer qu’il n’y a aucune surprise ni aucune incompréhension. Cette phase terrain se termine par un debriefing formel entre l’équipe d’audit, les audités et moi- même afin de partager une vision des premiers points identifiés mais aussi de donner aux audités une idée sur les recommandations que nous formulerons pour qu’ils puissent déjà commencer à définir leurs plans d‘action. Ce débriefing est aussi l’opportunité d’ajuster nos recommandations à leurs éventuelles contraintes (ressources, délais, outils...).
Cette communication permanente, se poursuit-elle au-delà de l’intervention sur le terrain ?
R.M. : Tout à fait, puisqu’une fois le rapport quasi-finalisé, nous organisons, avant de l’envoyer, une réunion de clôture avec toutes les par- ties prenantes internes (audités, management de la zone et parfois certaines directions transverses). Il s’agit à nouveau d’une opportunité pour s’aligner avec les entités auditées et résoudre d’éventuels désaccords...
Toutefois, la partie du rapport d’audit que je considère comme la plus génératrice de valeur ajoutée est liée à la bonne formulation de la recommandation, à savoir une recommandation claire, faisable et dans un délai acceptable, tout en considérant les contraintes de l’audité. Cet exercice n’est pas toujours facile et c’est la raison pour laquelle j’essaie, depuis que je suis Directrice de l’audit interne, de travailler le plus possible avec les experts métiers d’autres départements, soit en amont en préparation des missions, soit en les invitant à participer à certaines missions d’audit (que ce soit des audits thématiques précis, comme la TVA en Europe, avec la participation de l’équipe fiscale du Groupe, ou des audits plus généraux). Chez Rexel, nous appelons cela le « Guest Auditor Program », et c’est un élément clé d’apport de valeur ajoutée : être accompagnés par des spécialistes de certains sujets nous permet de bénéficier des meilleures expertises du Groupe, renforçant ainsi la pertinence de nos analyses et recommandations, et donc la crédibilité de l’audit interne.
Enfin, pour conclure la mission d’audit, nous rappelons qu’un suivi est effectué par l’audit interne tous les 6 mois pour s’assurer de la mise en place des plans d’action dans un délai maximal d’un an après le rapport pour les points critiques et de deux ans pour les points non- critiques. Ce suivi est formalisé sur notre plateforme d’audit interne, avec archivage d’une « preuve » pour tous les points critiques. Ce travail de suivi apporte une vraie valeur ajoutée en donnant au management une assurance sur l’amélioration des processus.
Comment adaptez-vous votre communication à destination de la direction ?
R.M. : Au moment de l’envoi final du rapport d’audit aux audités, nous le transmettons également aux membres du Comité exécutif du Groupe et à certaines personnes clés de l’organisation, en le complétant par un résumé global (« Executive Summary ») qui synthétise les éléments clés : objectifs, observations, plans d’action... Mais au-delà du cadre de la mission et de sa finalisation, il y a également un travail de communication plus global.
De quel ordre ?
R.M. : Nous organisons une fois par an des comités d’audit de zone (qui sont distincts du comité d’audit et des risques du Groupe auquel je reporte fonctionnellement), qui sont des instances incluant la Direction générale et la Direction financière du Groupe, le management des zones géographiques ainsi que les responsables d’autres directions fonctionnelles, les responsables d’audit interne et de contrôle interne locaux et centraux. Au cours de ces comités, mon équipe et moi-même donnons notre opinion sur l’environnement de contrôle global du Groupe et de chacune de nos entités. Nous abordons bien sûr l’audit in- terne, avec un zoom sur les nouveaux points d’audit et un suivi des points critiques ouverts, mais aussi le contrôle interne et la gestion des risques.
Une fois la mission finalisée, le choix des outils peut aussi apporter de la valeur ajoutée...
R.M. : Bien-sûr, chez Rexel, nous avons investi dans une nouvelle plateforme dédiée à l’audit interne et au contrôle interne, que nous avons nommée ICARE (« Internal Control & Audit at Rexel Enabled ») et qui nous permet d’entrer tous les points d’audit, les recommandations, les plans d’action, mais aussi de déployer notre campagne d’auto- évaluation du contrôle interne de manière plus fluide, plus rapide et plus pratique pour nos audités.
Qu’avez-vous souhaité modifier dans l’organisation de l’audit depuis votre nomination ?
R.M. : À l’origine, je ne venais pas du tout du monde de l’audit interne, et certains éléments étaient déjà en place : l’organisation des missions, du travail en amont et sur le terrain, les réunions de clôture... Malgré tout, j’avais pu identifier des axes d’amélioration, notamment par rapport à la fluidité de la communication. J’avais également assisté via l’IFACI à des réunions où ces sujets étaient évoqués, dont la va- leur ajoutée de l’audit. Ainsi, quand j’ai pris la responsabilité d’abord de l’audit interne, j’ai demandé très vite à pouvoir bénéficier d’une mis- sion d’évaluation du département par l’IFACI, pour avoir un état des lieux de ce qui fonctionnait bien et de ce qui avait besoin d’être amélioré, et ainsi m’aider à définir ma feuille de route et mes priorités. Deux auditeurs d’IFACI certification ont passé au crible une sélection de missions : la méthodologie, la documentation, les rapports d’audit, la communication, les processus... Ils ont aussi réalisé un certain nombre d’interviews avec les équipes, le comité exécutif et le président du comité d’audit et des risques du Groupe.
Cette mission m’a beaucoup apporté. L’évaluation réalisée m’a permis d’avoir un avis objectif sur nos pratiques, fondé sur un référentiel international, avec un nombre de points intéressants à travailler. À partir de ce rapport de l’IFACI, j’ai noté en face de chaque proposition un plan d’action, et j’en ai présenté les conclusions au Comité d’audit et des risques. Beaucoup de recommandations ont déjà été appliquées, et nous avons par exemple développé un modèle robuste pour la construction du plan d’audit, avec la prise en compte de l’univers des risques du Groupe, du paysage informatique, de la couverture géographique, des discussions managériales, etc. J’ai réalisé qu’il allait falloir déterminer des priorités.
Quelles sont ces priorités ?
R.M. : Cette année, nous avons travaillé à rendre le plan d’audit plus robuste, et à faire le lien avec la stratégie du Groupe. Je travaille également sur la stratégie RH du département. Nous sommes une petite équipe centrale, sans équipe dédiée aux plans de carrière ou à la formation. J’y travaille donc seule, en m’appuyant sur les RH Groupe, afin de déployer la stratégie long terme que je me suis fixée.