White Paper
White Paper
White Paper
White Paper
L’Audit Interne
au service d’une
gouvernance
opérationnelle
Une approche intégrée
risque-audit pour faire
de l’audit interne un instrument
de gouvernance opérationnelle
François Tabourot, expert en gouvernance opérationnelle
Antoine Damelincourt, GRC Consultant
Avril 2012
2© MEGA - April 2012
Faire de l’Audit Interne un instrument de
gouvernance opérationnelle
L’audit interne tel qu’il est déni par l’IFACI « est une activité indépendante et objective,
qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations,
lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il
aide cette organisation à atteindre ses objectifs en évaluant, par une approche systé-
matique et méthodique, ses processus de management des risques, de contrôle, et de
gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efcacité. »
Cette dénition aborde les deux rôles que peut jouer l’audit interne : celui qui lui est
traditionnellement dévolu, l’assurance, mais aussi un rôle plus récent que les acteurs
du secteur mettent en avant depuis plusieurs années, celui de conseil auprès du
management. Cependant, il subsiste encore un débat relatif à la dénition du champ
d’application de l’audit interne.
L’ensemble des acteurs du secteur (régulateur, sociétés de
conseil, associations professionnelles…) mettent en avant
l’importance cruciale pour l’audit de prendre en compte
les risques auxquels l’organisation est exposée.
Ces recommandations portent à la fois sur le niveau tactique, mettant en avant l’utilisa-
tion d’une approche fondée sur les risques dans l’exécution d’un audit, mais aussi sur
un niveau plus stratégique qui donne à l’audit interne un rôle actif dans sa contribution
et la mise en œuvre d’une approche holistique de gestion des risques.
Si cette recommandation fait consensus dans les articles ou livres blancs publiés, son
déploiement fait encore face à quelques obstacles. Dans une étude de l’IIA publiée en
mars 2011, les auditeurs internes interrogés expliquent que, d’après eux, les deux prin-
cipaux obstacles à une intégration de l’audit interne dans une approche plus globale de
la gestion des risques sont « l’idée que cela dépasse les attributions de l’audit interne
» et « le manque de support du management ». Doit-on comprendre que l’audit agit en
vase clos ? Que l’indépendance annoncée de la fonction l’isole de la gestion globale
des risques d’entreprise (ERM) ? Le vase est-il d’ailleurs clos au point de rendre l’audit
inaudible de la direction de l’entreprise ? Ou, du moins, pas assez audible pour contri-
buer à l’excellence des opérations ?
An de réconcilier la vision théorique d’une intégration de l’audit interne à l’ERM avec
sa mise en place opérationnelle, il semble crucial, au préalable, de convaincre le ma-
nagement de la valeur ajoutée d’une fonction audit impliquée dans la gestion du risque.
La mise en œuvre d’une approche globale du risque permet à l’entreprise d’identier,
analyser, évaluer et surveiller les risques qui pourraient mettre en danger l’accomplis-
sement de ses objectifs, en minimisant les coûts et en maximisant la valeur ajoutée
produite. Quels faits ? Quelles idées ? Quelle proposition de valeur pourrait convaincre
les décideurs d’adopter une approche holistique qui ferait de l’audit interne la colonne
vertébrale de la gestion du risque ?
3© MEGA - April 2012
La réponse à ces questions doit être double. Tout d’abord, il faut exposer clairement
les dés auxquels l’audit interne est aujourd’hui confronté et démontrer les avantages
apportés par un audit interne partie prenante de l’ERM. Quoiqu’il en soit, aucun change-
ment radical de la fonction audit n’est nécessaire à son intégration au sein du dispositif
de gestion de risques. Il va surtout s’agir de légitimer le positionnement de l’audit dans
ce dispositif et de valoriser les capacités de reporting de la fonction, au service de la
gouvernance des opérations.
Les facteurs clés de succès sont ici l’éducation et la volonté managériale de déployer
une nouvelle politique de gouvernance opérationnelle fondée sur les données analy-
tiques issues de l’audit.
4© MEGA - April 2012
1Les nouveaux défis de la gestion des
risques
La dernière décennie, avec en point d’orgue la crise nancière commencée en 2008,
a provoqué des changements importants dans l’univers de la gestion des risques. De
nouveaux risques ont émergé, des risques existants sont devenus critiques. Au-delà de
la crise, et parfois à cause d’elle, plusieurs réglementations ont par ailleurs été ajoutées
au corpus réglementaire imposé aux entreprises. Tous ces changements renforcent le
besoin d’une fonction d’audit forte et soutenue par la direction générale.
Une charge de travail accrue
Nouvelles réglementations, nouvelles obligations
L’évolution de l’environnement réglementaire de ces dix dernières années est sans
conteste un changement radical pour les entreprises. Elles ont dû modier leurs opé-
rations et leurs systèmes de contrôle pour s’aligner avec les nouvelles obligations
réglementaires. Une récente étude du Gartner Group met en évidence que 22% des
chefs d’entreprise interrogés, placent le risque réglementaire au premier rang de leurs
risques1. Ces transformations imposées de la gouvernance ont un coût : un coût direct
de mise en place des transformations associées et un coût indirect de non-conformité.
Il peut être lié au paiement d’une amende, ou plus difcile à mesurer, associé à une
dégradation de l’image et de la réputation de l’entreprise.
La loi Dodd-Frank aux Etats Unis a ajouté un ensemble de réglements aux obligations
des entreprises nancières. Même si, contrairement à SOX, aucune tâche aussi spéci-
que et encadrée n’est demandée, Dodd-Frank contient un certain nombre de nouvelles
obligations auxquelles les compagnies doivent se conformer. Ainsi, les processus de
déclenchement d’alerte éthique dits « whistleblowing » et de gestion des politiques de
rémunération doivent être mises en place et contrôlées régulièrement. Un manquement
à ces obligations aurait un lourd impact sur la société (direct ou indirect). Enn, les en-
treprises doivent aussi faire face aux nouvelles contraintes imposées par Dodd-Frank
quant à leurs relations avec les régulateurs en particulier lors de la mise sur le marché
de nouveau produits et services. Toutes ces obligations liées à la protection du client
ajoutent un nouveau degré de complexité à la gestion du contrôle et du risque des
entreprises.
L’impact de la loi Sarbanes-Oxley a été discuté maintes et maintes fois. Les sociétés de
conseil ont déjà produit plusieurs livres blancs sur la meilleure façon d’appliquer le texte.
Au centre de SOX, l’analyse top-down 404 génère une charge de travail supplémentaire
en imposant une investigation poussée des risques comptables et leurs dommages
potentiels pour chaque étape du processus. Le Standard Comptable 5 du PCAOB,
dont le but est de guider les comptables dans leur application de cette analyse 404,
1 Gartner CEO Survey, March 2012
5© MEGA - April 2012
explique que cet exercice est « un audit
du contrôle interne sur le reporting nan-
cier, intégré à un audit des comptes. ».
Il recommande par ailleurs d’organiser
ce travail à partir d’une évaluation hié-
rarchisée des risques.
En règle générale, la protection du consommateur a été le moteur principal de l’ina-
tion réglementaire de la dernière décennie. L’ensemble des secteurs d’activités doit
désormais se conformer à des réglementations spéciques. Qu’il s’agisse de règles de
sécurité physique dans l’industrie lourde ou le bâtiment, ou de maintien de la chaîne du
froid dans le secteur agro-alimentaire, les entreprises doivent non seulement se mettre
en conformité mais contrôler, surveiller et maintenir cette conformité dans le temps.
Il est clair que la conformité à de nouvelles réglementations est une source de coûts
pour les organisations. C’est un coût nancier direct, mais surtout une charge de travail
supplémentaire signicative. Cette ination de l’environnement réglementaire, aug-
mente la légitimité et la valeur ajoutée d’un département d’audit interne efcace.
Les contrôles de conformité, les analyses top-down ou les évaluations détaillées de
risques sont des tâches qui relèvent des pratiques courantes de l’audit. De par leur
regard indépendant et méthodique sur les opérations de la société, les auditeurs
deviennent des acteurs actifs des enjeux de la conformité. De ce point de vue,
cette nouvelle situation, renforce le besoin de mettre en place un département d’audit
efcace et doté de méthodes professionnelles.
Un consensus des professionnels
L’intensication du rôle de l’audit apparaît d’autant plus évidente que l’on considère
l’importance de la littérature publiée sur le sujet par quelques experts. Les cabinets de
conseil (y compris l’ensemble des Big Four), les instituts de recherche, les associations
professionnelles, etc, annoncent tous un besoin
accru pour une gestion des risques efcace qui
passerait par une fonction d’audit forte, agis-
sant dans le cadre d’une pratique de gestion de
risques.
En 2004, COSO a publié son livre blanc sur
l’Entreprise Risk Management
2
, proposant une
approche holistique à la problématique de la ges-
tion des risques. La clé de cette approche est
l’implication de l’ensemble des acteurs de l’entreprise dans la gestion des risques. Ce
texte s’attarde sur le rôle attribué à l’audit et demande à ce que celui-ci soit étendu pour
passer du simple rôle traditionnel de contrôle interne, à une vraie place dans le système
de gestion des risques. Cela passe notamment par une implication dans l’évaluation
des risques et par un rôle de conseil auprès du management et du comité d’audit, sur
les problématiques relatives à la gestion des risques.
2 COSO, Enterprise Risk Management Integrated Framework, 2004
Cela passe notamment par une
implication dans l’évaluation
des risques et par un rôle de
conseil auprès du management
et du comité d’audit, sur les
problématiques relatives à la
gestion des risques.
« un audit du contrôle
interne sur le reporting
financier, intégré à un
audit des comptes. »
6
7
8
9
10
11
12
13
14
15
16
1
/
16
100%
