White Paper Une approche intégrée risque-audit pour faire de l’audit interne un instrument de gouvernance opérationnelle White Paper François Tabourot, expert en gouvernance opérationnelle Antoine Damelincourt, GRC Consultant Avril 2012 White Paper L’Audit Interne au service d’une gouvernance opérationnelle Faire de l’Audit Interne un instrument de gouvernance opérationnelle L’audit interne tel qu’il est défini par l’IFACI « est une activité indépendante et objective, qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. » Cette définition aborde les deux rôles que peut jouer l’audit interne : celui qui lui est traditionnellement dévolu, l’assurance, mais aussi un rôle plus récent que les acteurs du secteur mettent en avant depuis plusieurs années, celui de conseil auprès du management. Cependant, il subsiste encore un débat relatif à la définition du champ d’application de l’audit interne. L’ensemble des acteurs du secteur (régulateur, sociétés de conseil, associations professionnelles…) mettent en avant l’importance cruciale pour l’audit de prendre en compte les risques auxquels l’organisation est exposée. Ces recommandations portent à la fois sur le niveau tactique, mettant en avant l’utilisation d’une approche fondée sur les risques dans l’exécution d’un audit, mais aussi sur un niveau plus stratégique qui donne à l’audit interne un rôle actif dans sa contribution et la mise en œuvre d’une approche holistique de gestion des risques. Si cette recommandation fait consensus dans les articles ou livres blancs publiés, son déploiement fait encore face à quelques obstacles. Dans une étude de l’IIA publiée en mars 2011, les auditeurs internes interrogés expliquent que, d’après eux, les deux principaux obstacles à une intégration de l’audit interne dans une approche plus globale de la gestion des risques sont « l’idée que cela dépasse les attributions de l’audit interne » et « le manque de support du management ». Doit-on comprendre que l’audit agit en vase clos ? Que l’indépendance annoncée de la fonction l’isole de la gestion globale des risques d’entreprise (ERM) ? Le vase est-il d’ailleurs clos au point de rendre l’audit inaudible de la direction de l’entreprise ? Ou, du moins, pas assez audible pour contribuer à l’excellence des opérations ? Afin de réconcilier la vision théorique d’une intégration de l’audit interne à l’ERM avec sa mise en place opérationnelle, il semble crucial, au préalable, de convaincre le management de la valeur ajoutée d’une fonction audit impliquée dans la gestion du risque. La mise en œuvre d’une approche globale du risque permet à l’entreprise d’identifier, analyser, évaluer et surveiller les risques qui pourraient mettre en danger l’accomplissement de ses objectifs, en minimisant les coûts et en maximisant la valeur ajoutée produite. Quels faits ? Quelles idées ? Quelle proposition de valeur pourrait convaincre les décideurs d’adopter une approche holistique qui ferait de l’audit interne la colonne vertébrale de la gestion du risque ? © MEGA - April 2012 2 La réponse à ces questions doit être double. Tout d’abord, il faut exposer clairement les défis auxquels l’audit interne est aujourd’hui confronté et démontrer les avantages apportés par un audit interne partie prenante de l’ERM. Quoiqu’il en soit, aucun changement radical de la fonction audit n’est nécessaire à son intégration au sein du dispositif de gestion de risques. Il va surtout s’agir de légitimer le positionnement de l’audit dans ce dispositif et de valoriser les capacités de reporting de la fonction, au service de la gouvernance des opérations. Les facteurs clés de succès sont ici l’éducation et la volonté managériale de déployer une nouvelle politique de gouvernance opérationnelle fondée sur les données analytiques issues de l’audit. © MEGA - April 2012 3 1 Les nouveaux défis de la gestion des risques La dernière décennie, avec en point d’orgue la crise financière commencée en 2008, a provoqué des changements importants dans l’univers de la gestion des risques. De nouveaux risques ont émergé, des risques existants sont devenus critiques. Au-delà de la crise, et parfois à cause d’elle, plusieurs réglementations ont par ailleurs été ajoutées au corpus réglementaire imposé aux entreprises. Tous ces changements renforcent le besoin d’une fonction d’audit forte et soutenue par la direction générale. Une charge de travail accrue Nouvelles réglementations, nouvelles obligations L’évolution de l’environnement réglementaire de ces dix dernières années est sans conteste un changement radical pour les entreprises. Elles ont dû modifier leurs opérations et leurs systèmes de contrôle pour s’aligner avec les nouvelles obligations réglementaires. Une récente étude du Gartner Group met en évidence que 22% des chefs d’entreprise interrogés, placent le risque réglementaire au premier rang de leurs risques1. Ces transformations imposées de la gouvernance ont un coût : un coût direct de mise en place des transformations associées et un coût indirect de non-conformité. Il peut être lié au paiement d’une amende, ou plus difficile à mesurer, associé à une dégradation de l’image et de la réputation de l’entreprise. La loi Dodd-Frank aux Etats Unis a ajouté un ensemble de réglements aux obligations des entreprises financières. Même si, contrairement à SOX, aucune tâche aussi spécifique et encadrée n’est demandée, Dodd-Frank contient un certain nombre de nouvelles obligations auxquelles les compagnies doivent se conformer. Ainsi, les processus de déclenchement d’alerte éthique dits « whistleblowing » et de gestion des politiques de rémunération doivent être mises en place et contrôlées régulièrement. Un manquement à ces obligations aurait un lourd impact sur la société (direct ou indirect). Enfin, les entreprises doivent aussi faire face aux nouvelles contraintes imposées par Dodd-Frank quant à leurs relations avec les régulateurs en particulier lors de la mise sur le marché de nouveau produits et services. Toutes ces obligations liées à la protection du client ajoutent un nouveau degré de complexité à la gestion du contrôle et du risque des entreprises. L’impact de la loi Sarbanes-Oxley a été discuté maintes et maintes fois. Les sociétés de conseil ont déjà produit plusieurs livres blancs sur la meilleure façon d’appliquer le texte. Au centre de SOX, l’analyse top-down 404 génère une charge de travail supplémentaire en imposant une investigation poussée des risques comptables et leurs dommages potentiels pour chaque étape du processus. Le Standard Comptable 5 du PCAOB, dont le but est de guider les comptables dans leur application de cette analyse 404, 1 Gartner CEO Survey, March 2012 © MEGA - April 2012 4 explique que cet exercice est « un audit du contrôle interne sur le reporting financier, intégré à un audit des comptes. ». Il recommande par ailleurs d’organiser ce travail à partir d’une évaluation hiérarchisée des risques. « un audit du contrôle interne sur le reporting financier, intégré à un audit des comptes. » En règle générale, la protection du consommateur a été le moteur principal de l’inflation réglementaire de la dernière décennie. L’ensemble des secteurs d’activités doit désormais se conformer à des réglementations spécifiques. Qu’il s’agisse de règles de sécurité physique dans l’industrie lourde ou le bâtiment, ou de maintien de la chaîne du froid dans le secteur agro-alimentaire, les entreprises doivent non seulement se mettre en conformité mais contrôler, surveiller et maintenir cette conformité dans le temps. Il est clair que la conformité à de nouvelles réglementations est une source de coûts pour les organisations. C’est un coût financier direct, mais surtout une charge de travail supplémentaire significative. Cette inflation de l’environnement réglementaire, augmente la légitimité et la valeur ajoutée d’un département d’audit interne efficace. Les contrôles de conformité, les analyses top-down ou les évaluations détaillées de risques sont des tâches qui relèvent des pratiques courantes de l’audit. De par leur regard indépendant et méthodique sur les opérations de la société, les auditeurs deviennent des acteurs actifs des enjeux de la conformité. De ce point de vue, cette nouvelle situation, renforce le besoin de mettre en place un département d’audit efficace et doté de méthodes professionnelles. Un consensus des professionnels L’intensification du rôle de l’audit apparaît d’autant plus évidente que l’on considère l’importance de la littérature publiée sur le sujet par quelques experts. Les cabinets de conseil (y compris l’ensemble des Big Four), les instituts de recherche, les associations professionnelles, etc, annoncent tous un besoin Cela passe notamment par une accru pour une gestion des risques efficace qui implication dans l’évaluation passerait par une fonction d’audit forte, agisdes risques et par un rôle de sant dans le cadre d’une pratique de gestion de conseil auprès du management risques. et du comité d’audit, sur les problématiques relatives à la gestion des risques. En 2004, COSO a publié son livre blanc sur l’Entreprise Risk Management2, proposant une approche holistique à la problématique de la gestion des risques. La clé de cette approche est l’implication de l’ensemble des acteurs de l’entreprise dans la gestion des risques. Ce texte s’attarde sur le rôle attribué à l’audit et demande à ce que celui-ci soit étendu pour passer du simple rôle traditionnel de contrôle interne, à une vraie place dans le système de gestion des risques. Cela passe notamment par une implication dans l’évaluation des risques et par un rôle de conseil auprès du management et du comité d’audit, sur les problématiques relatives à la gestion des risques. 2 COSO, Enterprise Risk Management Integrated Framework, 2004 © MEGA - April 2012 5 Ce rôle étendu de l’audit abordé par COSO en 2004 a été repris et complété par les livres blancs des grands cabinets de conseil. Dans l’ensemble, ceux-ci insistent non seulement sur le besoin d’un cadre ERM mais aussi et surtout sur le rôle que l’audit interne peut et doit y jouer. Ernst & Young, par exemple, recommande l’utilisation par les auditeurs d’une « mesure de contrôle en 3D3 » afin d’être mieux à même de révéler au management l’état des risques de la société. Dans un livre blanc de juin 2011, Oracle et l’IIARF annoncent leur conviction que les auditeurs disposent des qualités et des compétences nécessaires pour mener à bien les tâches liées à la gestion des risques. Cette conviction est appuyée par les statistiques issues d’un sondage sur le rôle de l’audit interne montrant qu’il existe une grande marge de progression pour que l’audit prenne une place prépondérante dans la gestion des risques4. Enfin, KPMG présente ses services de support et conseil à l’audit interne en mettant l’accent sur les avantages d’impliquer des auditeurs expérimentés dans la gestion du risque5. Il semble donc clair que la profession soit unanime sur l’opportunité de faire jouer un rôle accru à l’audit interne dans un cadre global de gestion des risques. Ceci est particulièrement vrai aujourd’hui dans un environnement économique « hostile ». Il créé un besoin crucial d’excellence opérationnelle, dont la gestion des risques devient l’outil de gouvernance le plus efficace. La gestion des risques : une pratique de gouvernance des opérations Une direction impliquée L’accumulation de scandales financiers, fraudes majeures, dépôts de bilans et plus généralement d’erreurs grossières de management, rappellent l’importance du contrôle et de l’audit interne pour la pérennité même de l’entreprise. Il est particulièrement difficile de s’extirper d’une crise due à une erreur de gouvernance, qui peut, comme dans le cas de Lehmann Brothers, se révéler fatale à l’entreprise. Clairement, le premier avantage qu’apporte un cadre de gestion du risque efficace doit être l’assurance qu’une crise qui mettrait en danger la vie même de l’entreprise Pour que la gestion du risque est peu probable. Le « too big to fail » a vécu. soit efficace, il faut que son Le problème exposé par tant de ces scandales message soit écouté et sa n’est pas seulement lié à la défaillance du sysmission soutenue par la tème de gestion du risque. Dans la plupart des direction. cas, un tel système était en place. Il réside aussi dans le manque d’écoute du management vis-àvis des alertes levées par leurs professionnels du risque. Pour que la gestion du risque soit efficace, il faut que son message soit écouté et sa mission soutenue par la direction. Si l’audit interne détecte une faiblesse dans l’environnement de contrôle de l’entreprise mais que son rapport au management est ignoré, alors les efforts des auditeurs auront été vains et les ressources gaspillées lors de la réalisation de l’audit : la menace reste 3 Ernst & Young, 5 Insights for Executive : Risk & Control, 2011 4 IIARF sponsored by Oracle, Internal Auditing’s role in Risk Management, March 2011 5 http://www.kpmg.com/US/en/WhatWeDo/Advisory/risk-and-compliance/internal-audit-risk-and-regulatory-compliance/Pages/internal-audit-sourcing.aspx © MEGA - April 2012 6 intacte quand bien même le coût de sa détection est dépensé. Un audit efficace doit incontestablement bénéficier de l’oreille et du soutien de sa direction. L’audit interne ne peut contribuer efficacement à la gestion des risques qu’à cette seule condition : de la prédominance de ses recommandations sur tout autre contrainte de l’entreprise. Un perpétuel besoin d’arbitrage Les entreprises doivent désormais exister et se développer dans un environnement concurrentiel plus difficile et plus risqué. Bien diriger, c’est savoir arbitrer dans un environnement économique défavorable entre la prise de risque et l’optimisation de la performance opérationnelle. Dans ce domaine, la course à la compétitivité peut s’avérer une source de prise de risques importante. Bien diriger, c’est savoir arbitrer dans un environnement économique défavorable entre la prise de risque et l’optimisation de la performance opérationnelle. L’intégration des nouvelles technologies – dont la fréquence d’émergence ne fait qu’augmenter – dans les produits ou au sein de l’organisation des entreprises, illustre parfaitement ce besoin d’arbitrage entre acquisition rapide d’avantages concurrentiels et prise de risque. Certains déboires récents d’opérateurs téléphoniques témoignent de cette difficulté. Dans des univers à risques inconnus, les systèmes de gestion du risque doivent être pris en compte par les systèmes de gouvernance des opérations. C’est de cette synergie que naîtra la capacité d’anticipation et d’arbitrage nécessaire à la bonne gouvernance. Dans cette économie de crise, les entreprises doivent compenser la baisse de rentabilité financière du capital par la qualité de leurs opérations. C’est un impératif lié au maintien des marges opérationnelles. La même étude du Gartner Group, révèle que le Top 15 des risques identifiés par les dirigeants, est directement associé au maintien des marges opérationnelles6. Ce retour à l’économie réelle fait des opérations et de l’excellence de leur exécution une préoccupation majeure pour le management, et donc pour l’audit interne. 6 Gartner, op cit © MEGA - April 2012 7 2 Les avantages d’une approche intégrée Risque-Audit Améliorer l’efficacité de l’audit interne Une meilleure allocation des ressources L’environnement économique exerce une forte pression sur les entreprises qui veulent conserver un haut niveau de performance opérationnelle (« Do more / better with less »). La recherche de productivité issue de l’optimisation de l’utilisation des ressources en est la matérialisation. Pour l’audit interne, cela se traduit par un nombre limité d’auditeurs couvrant un spectre de processus et de risques en constante expansion. Pourquoi une approche par les risques serait-elle la réponse à un tel problème ? Si l’on suit le principe qui sous-tend l’analyse 404 imposée par SOX, l’inventaire et la graduation des risques selon leur impact devient le critère principal d’allocation de ressources. Ainsi à capacité finie a-t-on la garantie de mobiliser les ressources sur les sujets les plus critiques pour l’entreprise. Organiser le travail d’une équipe d’auditeurs à partir d’une classification des risques est une bonne pratique dans la définition des priorités d’audit. Les plus expérimentés pourront être mis à contribution sur les problématiques les plus importantes. Ce point particulier est révélé en 2010 comme une marge de productivité des équipes d’audit par une étude de Forbes Insight7 pour Ernst & Young. Elle rapporte que pour 74% des managers interrogés, il resterait une marge d’amélioration. Plus encore : pour 56%, l’audit interne n’apporte pas de valeur ajoutée et pour 63%, l’audit interne n’a pas de rôle dans les décisions stratégiques. L’audit au service de la performance Au-delà de l’optimisation de l’allocation des ressources, aligner les missions d’audit sur les risques de l’entreprise confie aux auditeurs une mission d’amélioration permanente. C’est se donner les moyens de disposer d’une vision plus précise de la performance du système de gestion des risques. C’est garantir que, sur le moyen terme Par ses pratiques et ses outils, et au travers des systèmes de suivi l’Audit Interne est en effet l’une des des recommandations, l’exposition fonctions support la plus à même aux risques nets de l’entreprise dimide fournir au management des nue au fur et mesure des évaluations données précises sur son activité successives. Par ses pratiques et ses outils, l’audit interne est en effet l’une et les résultats associés. des fonctions support la plus à même de fournir au management des données précises sur son activité et les résultats associés. Il ne s’agit pas simplement de mesurer le succès de l’audit lui-même, mais plutôt d’extraire de ces données des indicateurs de la performance opérationnelle. L’audit interne revoit régulièrement l’ensemble des processus, et dispose donc d’une évaluation 7 Ernst & Young, Unlocking the Strategic value of Internal Audit, November 2010 © MEGA - April 2012 8 des risques et des failles qui menacent l’entreprise et la mettent en danger. L’analyse périodique intrinsèque aux activités d’audit permet enfin de mesurer l’évolution et les tendances de l’exposition aux risques pour chaque processus. Grâce aux rapports de l’audit interne, le management peut disposer d’un retour précis et exhaustif sur la performance de ses opérations. Price Waterhouse Coopers propose même d’aller encore plus loin dans l’utilisation des données de l’audit. Il propose en effet d’utiliser de véritables scorecard8 par processus, mis en œuvre par l’audit pour supporter l’évaluation annuelle de l’entreprise. Ils placent ainsi l’audit au centre de l’analyse de la performance des organisations. Une gestion des risques optimisée La contribution de l’audit interne L’audit n’est pas la seule fonction support qui participe à la gestion des risques de l’entreprise. Au-delà de l’optimisation de sa propre organisation et du soutien actif de la direction, son intégration au sein du dispositif global de gestion des risques est un élément essentiel de son efficacité. C’est précisément Mettre en place un sysce qu’apportent les cadres méthodologiques de gestion des risques d’entreprise, en particulier en tème de gestion des définissant les règles de coopération des différents risques holistique intédépartements participant à la gestion des risques. grant l’audit interne au Juste après la publication du framework COSO9, cœur du système, contril’IIA a d’ailleurs publié un document mettant en bue à la professionnalisaévidence le rôle significatif que pouvait jouer l’audit 10 interne dans ce framework . Mettre en place un tion du dispositif. système de gestion des risques holistique intégrant l’audit interne au cœur du système, contribue à la professionnalisation du dispositif. L’audit interne apporte en effet ses méthodes systématiques, ainsi que les compétences et la connaissance de l’entreprise. Bien intégrer l’audit interne dans un cadre global de gestion des risques d’entreprise présente en synthèse plusieurs avantages : –– Les auditeurs peuvent utiliser leur compréhension et leur connaissance des processus de l’entreprise pour identifier et analyser les risques qui y sont attachés. Cette contribution trouve d’autant plus de sens que la gestion des auditeurs a été correctement optimisée. –– L’approche méthodique garantit l’exhaustivité des investigations. L’ensemble des processus sera couvert et exploré avec le juste niveau de détails. Enfin, la mémoire des auditeurs et de leur système de gestion, situe systématiquement les analyses de risques dans la perspective de leurs évolutions. 8 PWC, Maximizing Internal Audit, 2010 9 COSO, op cit 10 IIA, The role of Internal Auditors in Enterprise Wide Risk Management, September 2004 © MEGA - April 2012 9 Mettre le département de l’Audit Interne au cœur du système de gestion des risques, c’est tout simplement tirer parti des savoirs et savoir-faire de professionnels de l’une des fonctions support la mieux outillée pour ce type de responsabilités. Un besoin de cohérence La contribution des différentes fonctions support qui participent à la gestion des risques n’est efficace qu’au prix de leur bonne coordination. Dans une entreprise financière par exemple, le service Conformité met en place des tests et des contrôles des produits financiers vis-à-vis des profils clients, alors que le département de l’Audit Interne audite le processus de création de nouveau produit. Il y a clairement ici une possibilité de synergie. L’audit doit pouvoir profiter des résultats des contrôles du service Conformité, et la conformité bénéficier des analyses de l’audit pour optimiser la définition de ses contrôles. Malheureusement, il arrive que cette synergie ne soit pas exploitée et que l’audit ne puisse bénéficier des travaux collatéraux, et inversément. D’une manière plus générale, le département Risques Opérationnels gère les incidents, les pertes et l’analyse financière du risque, le département Conformité garantit la conformité de la société aux lois en vigueur, le département Qualité Pour rendre une mission d’audit contrôle la performance des processus, etc. plus performante, les auditeurs On peut même aller jusqu’à considérer que chaque acteur dans les opérations, est un doivent avoir accès aux recom- agent de la surveillance et de la gestion des mandations et plans d’action risques. émis par les autres départements afin, ici encore, de les consolider dans le plan d’audit unique et d’éviter des redondances. Sur quoi porte ce besoin de coordination ? Les cas le plus évidents sont au moins ceux du Risk Assessment et de la gestion des recommandations. Pour le risk assessment, c’est une tâche qui doit être effectuée au moins par les départements Risque, Conformité et Audit. Même si les périmètres peuvent parfois différer, il est utile, sinon indispensable de consolider les constats et les différentes évaluations. C’est de cette validation croisée que résultera la pertinence de l’évaluation retenue. Il en va de même pour les recommandations et les plans d’action. Pour rendre une mission d’audit plus performante, les auditeurs doivent avoir accès aux recommandations et plans d’action émis par les autres départements afin, ici encore, de les consolider dans le plan d’audit unique et d’éviter des redondances. Au-delà de l’amélioration de la couverture des risques évoquée précédemment, on trouvera dans la mise en œuvre d’un cadre de gestion des risques intégré une bonne réponse à ce besoin de cohérence. Si un tel cadre définit les modes de coopération et de collaboration des contributeurs, il propose également la consolidation du reporting à destination du management. Il renforce la nécessaire connexion entre le dispositif de gestion des risques et la direction de l’entreprise. En s’adressant à cette dernière d’une seule voix, les messages sont plus clairs, plus forts et surtout plus audibles pour la direction. Un article de 2005 insiste d’ailleurs sur le rôle que peut jouer l’audit dans ce besoin de communiquer face au management, en décrivant l’audit comme « la pierre angulaire de la gouvernance »11 . 11 Getting a leg up, Internal Auditor, June 2005 © MEGA - April 2012 10 Améliorer la gouvernance des opérations Trop souvent, l’audit interne est perçu par les organisations et surtout par les audités comme une contrainte plus que comme une opportunité. La démonstration de La pratique de l’examen systémala valeur ajoutée apportée à la société tique des processus de l’entreprise par ce dispositif – même tel qu’idéalement décrit précédemment – reste conduit par ailleurs les auditeurs un exercice difficile. La contribution à à produire des recommandations la mise sous contrôle de l’exposition et des plans d’action qui s’inscriaux risques est pourtant déjà un gain vent de plus en plus strictement assurantiel important. La pratique de dans une pratique d’amélioration l’examen systématique des processus de l’entreprise conduit par ailleurs les permanente. auditeurs à produire des recommandations et des plans d’action qui s’inscrivent de plus en plus strictement dans une pratique d’amélioration permanente. Produire de la valeur Par définition, la gestion des risques regroupe l’ensemble des tâches visant à maîtriser les risques d’une organisation tout en favorisant l’atteinte de ses objectifs. Cette définition reconnait de fait l’audit interne comme un contributeur actif du bon fonctionnement de l’entreprise. En effet, beaucoup de constats d’audit visent à améliorer certains processus sous-efficients. Une faiblesse détectée au cours d’un audit fera ainsi l’objet d’une recommandation d’augmentation de l’efficacité. Il s’agit ici d’une démonstration évidente d’une contribution directe de l’audit à la création de valeur, mais ce n’est pas pour autant la seule. L’identification d’un point de non-conformité, par exemple, ne crée pas en soi de la valeur pour l’entreprise. Mais si cette faiblesse reste inconnue et qu’un régulateur la détecte, alors l’entreprise devra subir des pertes à la fois directes (amende) et indirectes (image). Dans ce cas précis, les contrôles de l’audit permettent d’éviter des pertes, ce qui doit assurément être assimilé à un mécanisme de création de valeur. Eviter les pertes, particulièrement les pertes causant des dommages de réputation, doit être une priorité pour toute organisation. Un seul manquement aux obligations légales, un seul faux-pas commercial et la tempête médiatique peut devenir une sérieuse menace pour l’entreprise. Il n’est guère surprenant de retrouver le risque de perte de réputation en haut du classement des risques majeurs établi par The Economist12 avec un index de 52. Le risque de non-conformité étant en seconde position avec un index de 41. Il se trouve que ces deux risques majeurs sont justement ceux que l’audit interne adresse directement. Les outils de l’audit interne au service de la gouvernance Le travail de l’audit interne est aligné sur les processus de l’entreprise. Ainsi, les missions, les constats et les recommandations d’audit sont organisés par processus métiers que l’audit interne revisite régulièrement dans leur intégralité. Cela signifie simplement que 12 Digital Risk: the challenge for the CRO; Economist Intelligence Unit; September 2005 © MEGA - April 2012 11 chaque processus métier est audité, analysé, ses risques sont évalués et ses faiblesses signalées et ses zones d’amélioration révélées. Tout ce travail d’analyse effectué par l’audit génère un grand volume de données relatives à la performance du processus. Au-delà de l’exposition au risque, il est possible et souhaitable d’aller plus loin en utilisant l’ensemble des statistiques obtenues, comme autant d’outils de contrôle de la performance. Par exemple, le nombre et le niveau de recommandations ouvertes sur un processus est un indicateur du potentiel d’amélioration de ce processus. Surveiller ce même indicateur dans la durée permet de mesurer le temps moyen de réalisation d’une recommandation, et ainsi la réactivité des opérations. Les évaluations des risques et des contrôles liés au processus étudié sont encore une autre source d’indicateurs au service de la performance de l’entreprise. L’audit interne peut sans conteste fournir au management un grand nombre d’outils permettant d’améliorer la gouvernance des opérations, à la condition que l’information puisse circuler de manière efficace au sein de l’organisation. Ces efforts doivent être faits pour capitaliser au maximum le travail effectué par l’audit interne. C’est à cette dernière condition que l’audit interne pourra efficacement contribuer à l’amélioration des performances de l’entreprise. © MEGA - April 2012 12 3 Conclusion L’entreprise s’est progressivement dotée de fonctions supports pour l’accompagner dans l’exécution de ses opérations et pour prendre en compte l’évolution de son environnement. Les directions financières d’abord, mais aussi de l’informatique, des ressources humaines, de la qualité, etc., sont parmi les plus connues. Pour toutes celles directement associées aux opérations, elles ont mis au point un corpus méthodologique d’optimisation du fonctionnement de l’organisation (juste à temps, management participatif, qualité totale, approche processus). Au même moment, la globalisation et les déséquilibres entre pays ont révélé une autre échelle d’enjeux de restructurations des entreprises (fusions, délocalisation, joint-ventures…), dopées par la dynamique des marchés financiers. Tous les savoir-faire d’optimisation ont alors été relégués au second plan, au profit d’une création de richesse pilotée par une gouvernance essentiellement financière. C’est dans ce contexte qu’est apparu l’audit interne, comme un garde-fou aux dérives associées. Ce que nous impose la crise financière, le rééquilibrage du monde et l’augmentation des coûts de l’énergie, c’est un retour aux enjeux de l’optimisation et de l’amélioration continue. Elle replace la gouvernance financière comme pur instrument de développement et la gouvernance opérationnelle comme la pratique de la création de valeur durable. C’est sur les savoir-faire métiers et sur le talent des auditeurs au service du retour à une économie réelle que nous parions aujourd’hui. L’aura acquise au sein de la direction financière, les méthodes précises et systématiques associées à la fonction, l’indépendance, la relation privilégiée avec le comité de direction et le conseil d’administration sont leurs principaux atouts pour participer à ce défi du XXIe siècle. © MEGA - April 2012 13 MEGA International : la société –– créée en 1991 –– 300 personnes –– dont 130 consultants –– plus de 2.400 clients –– 75.000 utilisateurs dans plus de 40 pays –– 8 implantations : France, Italie, Royaume-Uni, Allemagne, Etats-Unis, Mexique, Japon, Singapour –– plus de 25 partenaires et distributeurs à travers le monde © MEGA - April 2012 14 White Paper White Paper White Paper www.mega.com