07 juillet 2017

pictogramme temps Lecture 7 mn

Relations du management et de l’audit interne : 5 sources de tension fréquentes

Dans un monde idéal, le management et l’audit interne font front commun dans le but de renforcer les processus de management des risques, de contrôle interne et de gouvernance de leur organisation. Cette alliance prévaut dans la plupart des organisations publiques et privées à travers le monde. Toutefois, même alliés, le management et l’audit interne ne voient pas toujours les choses du même œil. Si leurs désaccords peuvent être facilement résolus quand il s’agit d’un simple problème de formulation dans un rapport d’audit, ils peuvent être plus graves au point d’empêcher l’audit interne de mener à bien sa mission. Tout au long de ma carrière dans l’audit interne, j’ai traversé d’innombrables conflits avec des managers. Et en tant que leader de l’IIA, je suis régulièrement sollicité par des responsables de l’audit interne ou des membres de leur équipe dont la relation avec le management est dans une impasse à cause d’une controverse. En y réfléchissant, je distingue cinq causes principales à ces différends.
  1. Les ressources de l’audit interne
Aucune formule scientifique ou norme internationale ne fixe l’effectif ou le budget précis à allouer à une fonction d’audit interne. Si tel était le cas, les tensions liées aux ressources seraient moins fréquentes. Le Conseil charge le management, et plus particulièrement le directeur général et le directeur financier, d’atteindre les objectifs de l’organisation, notamment en termes de rentabilité dans le secteur privé. Pour ce faire, le management peut essayer de rationaliser les opérations et de réduire les coûts, afin d’améliorer les résultats financiers. Mais la mission d’un responsable de l’audit interne demeure la même : donner avec objectivité une assurance et des conseils quant à l’efficacité des dispositifs de management des risques et de contrôle interne de l’organisation. Par conséquent, face à des injonctions de réduction budgétaire ou d’effectif de l’audit interne, les responsables de l’audit interne se trouvent devant un dilemme difficile. Si s’opposer à d’éventuelles baisses de ressources pourrait susciter une réaction hostile de la part de leur responsable hiérarchique (le directeur général ou le directeur financier), a contrario, ne pas faire part de leurs préoccupations pourrait induire en erreur leur responsable fonctionnel (le comité d’audit) en lui faisant croire que l’audit interne dispose des ressources nécessaires pour mener efficacement sa mission. C’est un dilemme qui demande du courage et de la finesse. Déterminer le niveau de ressources dont l’audit interne a besoin peut être subjectif, c’est pourquoi je conseille souvent aux responsables de l’audit interne et aux comités d’audit d’examiner périodiquement les cinq risques majeurs que l’audit interne ne sera pas en mesure de prendre en compte avec ses ressources actuelles. Si le comité d’audit se prête à cet exercice, cela pourrait permettre de clore temporairement le débat sur les niveaux de ressources adéquats.
  1. L’évaluation des risques
Bien qu’il n’y ait pas de formule permettant de calculer les ressources nécessaires, les normes de l’audit interne exigent une évaluation des risques, aussi bien au niveau de l’organisation que de la mission. Selon le COSO (Committee of Sponsoring Origanizations of the Treadway Commission), « le management des risques peut être à la fois considéré comme un art et une science. » Pour poursuivre la métaphore de l’art, le management préfère parfois des portraits flatteurs tandis que les auditeurs internes privilégient le réalisme. A cet égard, je recommande de privilégier la communication, de négocier si nécessaire et enfin d’accepter d’être en désaccord si les circonstances le justifient. Les responsables de l’audit interne devraient partager les résultats de l’évaluation (de préférence continue) des risques avec le comité d’audit comme point de départ de la définition du périmètre d’intervention de l’audit interne. Les plus courageux d’entre eux ne se contenteront pas de modifier, supprimer ou dissimuler leur évaluation parce que celle-ci déplaît au management. En cas de désaccord entre le management et le responsable de l’audit interne sur l’exactitude de ces évaluations, les deux points de vue devraient être soumis au comité d’audit. Ce n’est certes pas une situation agréable pour le responsable de l’audit interne mais c’est souvent la meilleure ligne de conduite.
  1. Les résultats de l’audit interne
Les tensions les plus fréquentes (voire parfois les plus vives) proviennent de désaccords entre les auditeurs internes et le management à propos des conclusions d’une mission. Et pour cause ; les auditeurs internes réalisent une évaluation objective et systémique des opérations qui relèvent du domaine de compétence du management. La plupart du temps, le management est d’accord avec les constats et les recommandations de l’audit interne. Ceci dit personne n’apprécie d’être présenté comme un vilain petit canard. Le management opérationnel est généralement celui qui émet les objections les plus virulentes à une ébauche ou à un rapport d’audit final. Si les deux parties se trouvent dans une impasse à l’issue des discussions et négociations, le problème devrait remonter la voie hiérarchique, le cas échéant jusqu’au directeur général. Si ce dernier est aussi en désaccord, les responsables de l’audit interne doivent le notifier au comité d’audit. Le management a le droit d’accepter un ou plusieurs risques identifiés dans un rapport d’audit interne mais le Conseil assure en dernier ressort la surveillance des risques. Trop nombreux sont les exemples récents de grandes sociétés qui se sont embourbées dans un désastre ou un scandale à la suite de défaillances de processus de management des risques ou de contrôle interne alors que celles-ci étaient dans le radar de l’audit interne, parfois même depuis des années. Dans ces cas, la réputation des auditeurs internes est aussi ternie que celle du management faute d’avoir remonté leurs constats ou conclusions jusqu’au Conseil (via le comité d’audit). En résumé, personne ne gagne à ce que l’audit interne fasse profil bas en cas de désaccord avec le management sur les conclusions d’une mission.
  1. Les cotations et les opinions
Même lorsque le management accepte à contrecœur les résultats peu flatteurs de l’audit interne, l’attribution d’une note globale dans le rapport peut mettre le feu aux poudres. Ces notations prennent souvent la forme de mentions telles que « satisfaisant », « doit s’améliorer » ou « insuffisant ». Il n’est pas rare que le management opérationnel se hérisse à la vue d’un jugement « insuffisant ». Les tensions peuvent d’ailleurs s’envenimer si la notation donne lieu à des sanctions ayant par exemple un impact sur l’évaluation de la performance du management ou ses primes. D’après mon expérience, la direction générale et le comité d’audit sont plus ouverts aux systèmes de notation de l’audit interne que le management opérationnel. Mais cela ne signifie pas que les auditeurs internes ne devraient pas être attentifs à la façon dont les notations sont perçues dans l’organisation. En tant que responsable de l’audit interne, je déconseillerais l’utilisation de telles notations comme seul facteur de diminution des primes. L’audit interne serait alors perçu comme un ennemi par tous ceux qui subiraient ces effets négatifs. J’envisage de dédier un prochain article aux avantages et inconvénients des notations dans les rapports d’audit interne.
  1. Les relations avec le comité d’audit
Heureusement, la profession a parcouru beaucoup de chemin ces vingt dernières années en ce qui concerne le rattachement. Une récente enquête Global Pulse de l’IIA sur les pratiques professionnelles de l’audit interne a révélé que près de 75% des responsables de l’audit interne dans le monde sont fonctionnellement rattachés au Conseil ou à son comité d’audit. De mon point de vue, le management s’accommode de plus en plus du double rattachement de l’audit interne. Les comités d’audit robustes s’acquittent de leur mission de surveillance de l’audit interne et le management le comprend bien. Dans une large majorité d’organisations, le directeur général et les autres membres de la direction générale n’entravent pas l’accès ou le rattachement de l’audit interne au comité d’audit. Mais cette relation peut encore être source de tensions. Je suis fréquemment sollicité par des responsables de l’audit interne qui se sentent étouffés par leur directeur général ou leur directeur financier dans leurs relations avec le comité d’audit. Ils indiquent que le directeur général souhaite examiner et approuver chaque communication avec le comité d’audit et déplorent que leur directeur général et/ou leur directeur financier puisse voir d’un mauvais œil ou interdire les communications informelles entre le responsable de l’audit interne et le président du comité d’audit. Evidemment, il s’agit d’un dilemme difficile à résoudre. Bien qu’il soit clairement inapproprié que le management filtre en permanence les communications des responsables de l’audit interne avec le comité d’audit, le responsable de l’audit interne est, une fois de plus, pris entre deux feux. J’encourage souvent les présidents de comités d’audit à se montrer fermes quant à leurs attentes en matière d’accès à l’audit interne et à prendre directement contact avec les responsables de l’audit interne s’ils estiment que le management gêne leur communication. Si un responsable de l’audit interne en vient à penser que la culture de l’organisation représente un obstacle insurmontable à une communication transparente avec le comité d’audit, il pourrait finalement en prendre acte et quitter l’organisation. Selon mon expérience, lorsque le management empêche l’accès de l’audit interne au comité d’audit, c’est souvent le signe de problèmes culturels bien plus sérieux dans une organisation. Dans ces circonstances, partir est probablement la meilleure chose qu’un responsable de l’audit interne puisse faire pour sa carrière. Je suis conscient que cet article est plus sombre et plus long que mes réflexions habituelles sur l’audit interne. Toutefois, si on les laisse s’envenimer, les tensions entre l’audit interne et le management peuvent devenir assez graves. C’est pourquoi j’incite les responsables de l’audit interne à bâtir des relations constructives dans leur organisation afin de s’entourer de défenseurs et de sponsors de l’audit interne. Ces soutiens s’avèreront utiles en cas de conflits. En outre, je les encourage à développer un réseau de pairs avec lesquels ils pourront partager leurs frustrations et à qui demander conseil. Car il n’est jamais facile de faire cavalier seul. Vos remarques sur cet article sont les bienvenues. Je vous invite également à partager toute autre source de tension fréquente que j’aurais pu omettre. Richard Chambers Pour information Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.