Telechargé par hlel imen

48mega-white-paper-laudit-interne-au-service-dune-gouvernance-operationnelle-fr

publicité
White Paper
Une approche intégrée
risque-audit pour faire
de l’audit interne un instrument
de gouvernance opérationnelle
White Paper
François Tabourot, expert en gouvernance opérationnelle
Antoine Damelincourt, GRC Consultant
Avril 2012
White Paper
L’Audit Interne
au service d’une
gouvernance
opérationnelle
Faire de l’Audit Interne un instrument de
gouvernance opérationnelle
L’audit interne tel qu’il est défini par l’IFACI « est une activité indépendante et objective,
qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations,
lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il
aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de
gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. »
Cette définition aborde les deux rôles que peut jouer l’audit interne : celui qui lui est
traditionnellement dévolu, l’assurance, mais aussi un rôle plus récent que les acteurs
du secteur mettent en avant depuis plusieurs années, celui de conseil auprès du
management. Cependant, il subsiste encore un débat relatif à la définition du champ
d’application de l’audit interne.
L’ensemble des acteurs du secteur (régulateur, sociétés de
conseil, associations professionnelles…) mettent en avant
l’importance cruciale pour l’audit de prendre en compte
les risques auxquels l’organisation est exposée.
Ces recommandations portent à la fois sur le niveau tactique, mettant en avant l’utilisation d’une approche fondée sur les risques dans l’exécution d’un audit, mais aussi sur
un niveau plus stratégique qui donne à l’audit interne un rôle actif dans sa contribution
et la mise en œuvre d’une approche holistique de gestion des risques.
Si cette recommandation fait consensus dans les articles ou livres blancs publiés, son
déploiement fait encore face à quelques obstacles. Dans une étude de l’IIA publiée en
mars 2011, les auditeurs internes interrogés expliquent que, d’après eux, les deux principaux obstacles à une intégration de l’audit interne dans une approche plus globale de
la gestion des risques sont « l’idée que cela dépasse les attributions de l’audit interne
» et « le manque de support du management ». Doit-on comprendre que l’audit agit en
vase clos ? Que l’indépendance annoncée de la fonction l’isole de la gestion globale
des risques d’entreprise (ERM) ? Le vase est-il d’ailleurs clos au point de rendre l’audit
inaudible de la direction de l’entreprise ? Ou, du moins, pas assez audible pour contribuer à l’excellence des opérations ?
Afin de réconcilier la vision théorique d’une intégration de l’audit interne à l’ERM avec
sa mise en place opérationnelle, il semble crucial, au préalable, de convaincre le management de la valeur ajoutée d’une fonction audit impliquée dans la gestion du risque.
La mise en œuvre d’une approche globale du risque permet à l’entreprise d’identifier,
analyser, évaluer et surveiller les risques qui pourraient mettre en danger l’accomplissement de ses objectifs, en minimisant les coûts et en maximisant la valeur ajoutée
produite. Quels faits ? Quelles idées ? Quelle proposition de valeur pourrait convaincre
les décideurs d’adopter une approche holistique qui ferait de l’audit interne la colonne
vertébrale de la gestion du risque ?
© MEGA - April 2012
2
La réponse à ces questions doit être double. Tout d’abord, il faut exposer clairement
les défis auxquels l’audit interne est aujourd’hui confronté et démontrer les avantages
apportés par un audit interne partie prenante de l’ERM. Quoiqu’il en soit, aucun changement radical de la fonction audit n’est nécessaire à son intégration au sein du dispositif
de gestion de risques. Il va surtout s’agir de légitimer le positionnement de l’audit dans
ce dispositif et de valoriser les capacités de reporting de la fonction, au service de la
gouvernance des opérations.
Les facteurs clés de succès sont ici l’éducation et la volonté managériale de déployer
une nouvelle politique de gouvernance opérationnelle fondée sur les données analytiques issues de l’audit.
© MEGA - April 2012
3
1
Les nouveaux défis de la gestion des
risques
La dernière décennie, avec en point d’orgue la crise financière commencée en 2008,
a provoqué des changements importants dans l’univers de la gestion des risques. De
nouveaux risques ont émergé, des risques existants sont devenus critiques. Au-delà de
la crise, et parfois à cause d’elle, plusieurs réglementations ont par ailleurs été ajoutées
au corpus réglementaire imposé aux entreprises. Tous ces changements renforcent le
besoin d’une fonction d’audit forte et soutenue par la direction générale.
Une charge de travail accrue
Nouvelles réglementations, nouvelles obligations
L’évolution de l’environnement réglementaire de ces dix dernières années est sans
conteste un changement radical pour les entreprises. Elles ont dû modifier leurs opérations et leurs systèmes de contrôle pour s’aligner avec les nouvelles obligations
réglementaires. Une récente étude du Gartner Group met en évidence que 22% des
chefs d’entreprise interrogés, placent le risque réglementaire au premier rang de leurs
risques1. Ces transformations imposées de la gouvernance ont un coût : un coût direct
de mise en place des transformations associées et un coût indirect de non-conformité.
Il peut être lié au paiement d’une amende, ou plus difficile à mesurer, associé à une
dégradation de l’image et de la réputation de l’entreprise.
La loi Dodd-Frank aux Etats Unis a ajouté un ensemble de réglements aux obligations
des entreprises financières. Même si, contrairement à SOX, aucune tâche aussi spécifique et encadrée n’est demandée, Dodd-Frank contient un certain nombre de nouvelles
obligations auxquelles les compagnies doivent se conformer. Ainsi, les processus de
déclenchement d’alerte éthique dits « whistleblowing » et de gestion des politiques de
rémunération doivent être mises en place et contrôlées régulièrement. Un manquement
à ces obligations aurait un lourd impact sur la société (direct ou indirect). Enfin, les entreprises doivent aussi faire face aux nouvelles contraintes imposées par Dodd-Frank
quant à leurs relations avec les régulateurs en particulier lors de la mise sur le marché
de nouveau produits et services. Toutes ces obligations liées à la protection du client
ajoutent un nouveau degré de complexité à la gestion du contrôle et du risque des
entreprises.
L’impact de la loi Sarbanes-Oxley a été discuté maintes et maintes fois. Les sociétés de
conseil ont déjà produit plusieurs livres blancs sur la meilleure façon d’appliquer le texte.
Au centre de SOX, l’analyse top-down 404 génère une charge de travail supplémentaire
en imposant une investigation poussée des risques comptables et leurs dommages
potentiels pour chaque étape du processus. Le Standard Comptable 5 du PCAOB,
dont le but est de guider les comptables dans leur application de cette analyse 404,
1
Gartner CEO Survey, March 2012
© MEGA - April 2012
4
explique que cet exercice est « un audit
du contrôle interne sur le reporting financier, intégré à un audit des comptes. ».
Il recommande par ailleurs d’organiser
ce travail à partir d’une évaluation hiérarchisée des risques.
« un audit du contrôle
interne sur le reporting
financier, intégré à un
audit des comptes. »
En règle générale, la protection du consommateur a été le moteur principal de l’inflation réglementaire de la dernière décennie. L’ensemble des secteurs d’activités doit
désormais se conformer à des réglementations spécifiques. Qu’il s’agisse de règles de
sécurité physique dans l’industrie lourde ou le bâtiment, ou de maintien de la chaîne du
froid dans le secteur agro-alimentaire, les entreprises doivent non seulement se mettre
en conformité mais contrôler, surveiller et maintenir cette conformité dans le temps.
Il est clair que la conformité à de nouvelles réglementations est une source de coûts
pour les organisations. C’est un coût financier direct, mais surtout une charge de travail
supplémentaire significative. Cette inflation de l’environnement réglementaire, augmente la légitimité et la valeur ajoutée d’un département d’audit interne efficace.
Les contrôles de conformité, les analyses top-down ou les évaluations détaillées de
risques sont des tâches qui relèvent des pratiques courantes de l’audit. De par leur
regard indépendant et méthodique sur les opérations de la société, les auditeurs
deviennent des acteurs actifs des enjeux de la conformité. De ce point de vue,
cette nouvelle situation, renforce le besoin de mettre en place un département d’audit
efficace et doté de méthodes professionnelles.
Un consensus des professionnels
L’intensification du rôle de l’audit apparaît d’autant plus évidente que l’on considère
l’importance de la littérature publiée sur le sujet par quelques experts. Les cabinets de
conseil (y compris l’ensemble des Big Four), les instituts de recherche, les associations
professionnelles, etc, annoncent tous un besoin
Cela passe notamment par une accru pour une gestion des risques efficace qui
implication dans l’évaluation passerait par une fonction d’audit forte, agisdes risques et par un rôle de sant dans le cadre d’une pratique de gestion de
conseil auprès du management risques.
et du comité d’audit, sur les
problématiques relatives à la
gestion des risques.
En 2004, COSO a publié son livre blanc sur
l’Entreprise Risk Management2, proposant une
approche holistique à la problématique de la gestion des risques. La clé de cette approche est
l’implication de l’ensemble des acteurs de l’entreprise dans la gestion des risques. Ce
texte s’attarde sur le rôle attribué à l’audit et demande à ce que celui-ci soit étendu pour
passer du simple rôle traditionnel de contrôle interne, à une vraie place dans le système
de gestion des risques. Cela passe notamment par une implication dans l’évaluation
des risques et par un rôle de conseil auprès du management et du comité d’audit, sur
les problématiques relatives à la gestion des risques.
2
COSO, Enterprise Risk Management Integrated Framework, 2004
© MEGA - April 2012
5
Ce rôle étendu de l’audit abordé par COSO en 2004 a été repris et complété par les
livres blancs des grands cabinets de conseil. Dans l’ensemble, ceux-ci insistent non
seulement sur le besoin d’un cadre ERM mais aussi et surtout sur le rôle que l’audit
interne peut et doit y jouer. Ernst & Young, par exemple, recommande l’utilisation par les
auditeurs d’une « mesure de contrôle en 3D3 » afin d’être mieux à même de révéler au
management l’état des risques de la société. Dans un livre blanc de juin 2011, Oracle
et l’IIARF annoncent leur conviction que les auditeurs disposent des qualités et des
compétences nécessaires pour mener à bien les tâches liées à la gestion des risques.
Cette conviction est appuyée par les statistiques issues d’un sondage sur le rôle de
l’audit interne montrant qu’il existe une grande marge de progression pour que l’audit
prenne une place prépondérante dans la gestion des risques4. Enfin, KPMG présente
ses services de support et conseil à l’audit interne en mettant l’accent sur les avantages
d’impliquer des auditeurs expérimentés dans la gestion du risque5.
Il semble donc clair que la profession soit unanime sur l’opportunité de faire jouer un
rôle accru à l’audit interne dans un cadre global de gestion des risques. Ceci est particulièrement vrai aujourd’hui dans un environnement économique « hostile ». Il créé un
besoin crucial d’excellence opérationnelle, dont la gestion des risques devient l’outil de
gouvernance le plus efficace.
La gestion des risques : une pratique de gouvernance des opérations
Une direction impliquée
L’accumulation de scandales financiers, fraudes majeures, dépôts de bilans et plus généralement d’erreurs grossières de management, rappellent l’importance du contrôle et
de l’audit interne pour la pérennité même de l’entreprise. Il est particulièrement difficile
de s’extirper d’une crise due à une erreur de gouvernance, qui peut, comme dans le cas
de Lehmann Brothers, se révéler fatale à l’entreprise. Clairement, le premier avantage
qu’apporte un cadre de gestion du risque efficace doit être l’assurance qu’une crise qui
mettrait en danger la vie même de l’entreprise
Pour que la gestion du risque
est peu probable. Le « too big to fail » a vécu.
soit efficace, il faut que son
Le problème exposé par tant de ces scandales
message soit écouté et sa
n’est pas seulement lié à la défaillance du sysmission soutenue par la
tème de gestion du risque. Dans la plupart des
direction.
cas, un tel système était en place. Il réside aussi
dans le manque d’écoute du management vis-àvis des alertes levées par leurs professionnels du risque. Pour que la gestion du risque
soit efficace, il faut que son message soit écouté et sa mission soutenue par la direction.
Si l’audit interne détecte une faiblesse dans l’environnement de contrôle de l’entreprise
mais que son rapport au management est ignoré, alors les efforts des auditeurs auront
été vains et les ressources gaspillées lors de la réalisation de l’audit : la menace reste
3
Ernst & Young, 5 Insights for Executive : Risk & Control, 2011
4
IIARF sponsored by Oracle, Internal Auditing’s role in Risk Management, March 2011
5
http://www.kpmg.com/US/en/WhatWeDo/Advisory/risk-and-compliance/internal-audit-risk-and-regulatory-compliance/Pages/internal-audit-sourcing.aspx
© MEGA - April 2012
6
intacte quand bien même le coût de sa détection est dépensé. Un audit efficace doit
incontestablement bénéficier de l’oreille et du soutien de sa direction. L’audit interne
ne peut contribuer efficacement à la gestion des risques qu’à cette seule condition :
de la prédominance de ses recommandations sur tout autre contrainte de l’entreprise.
Un perpétuel besoin d’arbitrage
Les entreprises doivent désormais exister et se développer dans un environnement
concurrentiel plus difficile et plus risqué. Bien diriger, c’est savoir arbitrer dans un environnement économique défavorable entre la prise de risque et l’optimisation de la performance opérationnelle. Dans ce domaine, la course à la compétitivité peut s’avérer une
source de prise de risques importante.
Bien diriger, c’est savoir arbitrer
dans un environnement économique
défavorable entre la prise de risque
et l’optimisation de la performance
opérationnelle.
L’intégration des nouvelles technologies
– dont la fréquence d’émergence ne fait
qu’augmenter – dans les produits ou au
sein de l’organisation des entreprises, illustre parfaitement ce besoin d’arbitrage
entre acquisition rapide d’avantages
concurrentiels et prise de risque. Certains déboires récents d’opérateurs téléphoniques
témoignent de cette difficulté. Dans des univers à risques inconnus, les systèmes de
gestion du risque doivent être pris en compte par les systèmes de gouvernance des
opérations. C’est de cette synergie que naîtra la capacité d’anticipation et d’arbitrage
nécessaire à la bonne gouvernance.
Dans cette économie de crise, les entreprises doivent compenser la baisse de rentabilité financière du capital par la qualité de leurs opérations. C’est un impératif lié au
maintien des marges opérationnelles. La même étude du Gartner Group, révèle que
le Top 15 des risques identifiés par les dirigeants, est directement associé au maintien
des marges opérationnelles6. Ce retour à l’économie réelle fait des opérations et de
l’excellence de leur exécution une préoccupation majeure pour le management, et donc
pour l’audit interne.
6
Gartner, op cit
© MEGA - April 2012
7
2
Les avantages d’une approche intégrée
Risque-Audit
Améliorer l’efficacité de l’audit interne
Une meilleure allocation des ressources
L’environnement économique exerce une forte pression sur les entreprises qui veulent
conserver un haut niveau de performance opérationnelle (« Do more / better with less »).
La recherche de productivité issue de l’optimisation de l’utilisation des ressources en est
la matérialisation. Pour l’audit interne, cela se traduit par un nombre limité d’auditeurs
couvrant un spectre de processus et de risques en constante expansion.
Pourquoi une approche par les risques serait-elle la réponse à un tel problème ? Si l’on
suit le principe qui sous-tend l’analyse 404 imposée par SOX, l’inventaire et la graduation des risques selon leur impact devient le critère principal d’allocation de ressources.
Ainsi à capacité finie a-t-on la garantie de mobiliser les ressources sur les sujets les plus
critiques pour l’entreprise. Organiser le travail d’une équipe d’auditeurs à partir d’une
classification des risques est une bonne pratique dans la définition des priorités d’audit.
Les plus expérimentés pourront être mis à contribution sur les problématiques les plus
importantes. Ce point particulier est révélé en 2010 comme une marge de productivité
des équipes d’audit par une étude de Forbes Insight7 pour Ernst & Young. Elle rapporte
que pour 74% des managers interrogés, il resterait une marge d’amélioration. Plus
encore : pour 56%, l’audit interne n’apporte pas de valeur ajoutée et pour 63%, l’audit
interne n’a pas de rôle dans les décisions stratégiques.
L’audit au service de la performance
Au-delà de l’optimisation de l’allocation des ressources, aligner les missions d’audit sur
les risques de l’entreprise confie aux auditeurs une mission d’amélioration permanente.
C’est se donner les moyens de disposer d’une vision plus précise de la performance
du système de gestion des risques.
C’est garantir que, sur le moyen terme
Par ses pratiques et ses outils,
et au travers des systèmes de suivi
l’Audit Interne est en effet l’une des
des recommandations, l’exposition
fonctions support la plus à même
aux risques nets de l’entreprise dimide fournir au management des
nue au fur et mesure des évaluations
données précises sur son activité
successives. Par ses pratiques et ses
outils, l’audit interne est en effet l’une
et les résultats associés.
des fonctions support la plus à même
de fournir au management des données précises sur son activité et les résultats associés. Il ne s’agit pas simplement de mesurer le succès de l’audit lui-même, mais plutôt
d’extraire de ces données des indicateurs de la performance opérationnelle. L’audit
interne revoit régulièrement l’ensemble des processus, et dispose donc d’une évaluation
7
Ernst & Young, Unlocking the Strategic value of Internal Audit, November 2010
© MEGA - April 2012
8
des risques et des failles qui menacent l’entreprise et la mettent en danger. L’analyse
périodique intrinsèque aux activités d’audit permet enfin de mesurer l’évolution et les
tendances de l’exposition aux risques pour chaque processus. Grâce aux rapports de
l’audit interne, le management peut disposer d’un retour précis et exhaustif sur la performance de ses opérations.
Price Waterhouse Coopers propose même d’aller encore plus loin dans l’utilisation des
données de l’audit. Il propose en effet d’utiliser de véritables scorecard8 par processus,
mis en œuvre par l’audit pour supporter l’évaluation annuelle de l’entreprise. Ils placent
ainsi l’audit au centre de l’analyse de la performance des organisations.
Une gestion des risques optimisée
La contribution de l’audit interne
L’audit n’est pas la seule fonction support qui participe à la gestion des risques de
l’entreprise. Au-delà de l’optimisation de sa propre organisation et du soutien actif de la
direction, son intégration au sein du dispositif global de gestion des risques est un élément essentiel de son efficacité. C’est précisément
Mettre en place un sysce qu’apportent les cadres méthodologiques de
gestion des risques d’entreprise, en particulier en
tème de gestion des
définissant les règles de coopération des différents
risques holistique intédépartements participant à la gestion des risques.
grant l’audit interne au
Juste après la publication du framework COSO9,
cœur du système, contril’IIA a d’ailleurs publié un document mettant en
bue à la professionnalisaévidence le rôle significatif que pouvait jouer l’audit
10
interne dans ce framework . Mettre en place un
tion du dispositif.
système de gestion des risques holistique intégrant l’audit interne au cœur du système, contribue à la professionnalisation du dispositif.
L’audit interne apporte en effet ses méthodes systématiques, ainsi que les compétences
et la connaissance de l’entreprise. Bien intégrer l’audit interne dans un cadre global de
gestion des risques d’entreprise présente en synthèse plusieurs avantages :
–– Les auditeurs peuvent utiliser leur compréhension et leur connaissance des processus de l’entreprise pour identifier et analyser les risques qui y sont attachés.
Cette contribution trouve d’autant plus de sens que la gestion des auditeurs a été
correctement optimisée.
–– L’approche méthodique garantit l’exhaustivité des investigations. L’ensemble des
processus sera couvert et exploré avec le juste niveau de détails. Enfin, la mémoire
des auditeurs et de leur système de gestion, situe systématiquement les analyses
de risques dans la perspective de leurs évolutions.
8
PWC, Maximizing Internal Audit, 2010
9
COSO, op cit
10
IIA, The role of Internal Auditors in Enterprise Wide Risk Management, September 2004
© MEGA - April 2012
9
Mettre le département de l’Audit Interne au cœur du système de gestion des risques,
c’est tout simplement tirer parti des savoirs et savoir-faire de professionnels de l’une
des fonctions support la mieux outillée pour ce type de responsabilités.
Un besoin de cohérence
La contribution des différentes fonctions support qui participent à la gestion des risques
n’est efficace qu’au prix de leur bonne coordination. Dans une entreprise financière par
exemple, le service Conformité met en place des tests et des contrôles des produits
financiers vis-à-vis des profils clients, alors que le département de l’Audit Interne audite
le processus de création de nouveau produit. Il y a clairement ici une possibilité de
synergie. L’audit doit pouvoir profiter des résultats des contrôles du service Conformité,
et la conformité bénéficier des analyses de l’audit pour optimiser la définition de ses
contrôles. Malheureusement, il arrive que cette synergie ne soit pas exploitée et que
l’audit ne puisse bénéficier des travaux collatéraux, et inversément. D’une manière plus
générale, le département Risques Opérationnels gère les incidents, les pertes et l’analyse financière du risque, le département Conformité garantit la conformité de la société
aux lois en vigueur, le département Qualité
Pour rendre une mission d’audit contrôle la performance des processus, etc.
plus performante, les auditeurs On peut même aller jusqu’à considérer que
chaque acteur dans les opérations, est un
doivent avoir accès aux recom- agent de la surveillance et de la gestion des
mandations et plans d’action risques.
émis par les autres départements
afin, ici encore, de les consolider
dans le plan d’audit unique et
d’éviter des redondances.
Sur quoi porte ce besoin de coordination ?
Les cas le plus évidents sont au moins ceux
du Risk Assessment et de la gestion des
recommandations. Pour le risk assessment,
c’est une tâche qui doit être effectuée au
moins par les départements Risque, Conformité et Audit. Même si les périmètres
peuvent parfois différer, il est utile, sinon indispensable de consolider les constats et les
différentes évaluations. C’est de cette validation croisée que résultera la pertinence de
l’évaluation retenue. Il en va de même pour les recommandations et les plans d’action.
Pour rendre une mission d’audit plus performante, les auditeurs doivent avoir accès aux
recommandations et plans d’action émis par les autres départements afin, ici encore,
de les consolider dans le plan d’audit unique et d’éviter des redondances.
Au-delà de l’amélioration de la couverture des risques évoquée précédemment, on
trouvera dans la mise en œuvre d’un cadre de gestion des risques intégré une bonne
réponse à ce besoin de cohérence. Si un tel cadre définit les modes de coopération et
de collaboration des contributeurs, il propose également la consolidation du reporting
à destination du management. Il renforce la nécessaire connexion entre le dispositif
de gestion des risques et la direction de l’entreprise. En s’adressant à cette dernière
d’une seule voix, les messages sont plus clairs, plus forts et surtout plus audibles
pour la direction. Un article de 2005 insiste d’ailleurs sur le rôle que peut jouer l’audit
dans ce besoin de communiquer face au management, en décrivant l’audit comme « la
pierre angulaire de la gouvernance »11 .
11
Getting a leg up, Internal Auditor, June 2005
© MEGA - April 2012
10
Améliorer la gouvernance des opérations
Trop souvent, l’audit interne est perçu par les organisations et surtout par les audités
comme une contrainte plus que comme
une opportunité. La démonstration de
La pratique de l’examen systémala valeur ajoutée apportée à la société
tique des processus de l’entreprise
par ce dispositif – même tel qu’idéalement décrit précédemment – reste
conduit par ailleurs les auditeurs
un exercice difficile. La contribution à
à produire des recommandations
la mise sous contrôle de l’exposition
et des plans d’action qui s’inscriaux risques est pourtant déjà un gain
vent de plus en plus strictement
assurantiel important. La pratique de
dans une pratique d’amélioration
l’examen systématique des processus
de l’entreprise conduit par ailleurs les
permanente.
auditeurs à produire des recommandations et des plans d’action qui s’inscrivent de plus en plus strictement dans une pratique
d’amélioration permanente.
Produire de la valeur
Par définition, la gestion des risques regroupe l’ensemble des tâches visant à maîtriser
les risques d’une organisation tout en favorisant l’atteinte de ses objectifs. Cette définition reconnait de fait l’audit interne comme un contributeur actif du bon fonctionnement de l’entreprise. En effet, beaucoup de constats d’audit visent à améliorer certains
processus sous-efficients. Une faiblesse détectée au cours d’un audit fera ainsi l’objet
d’une recommandation d’augmentation de l’efficacité. Il s’agit ici d’une démonstration
évidente d’une contribution directe de l’audit à la création de valeur, mais ce n’est pas
pour autant la seule. L’identification d’un point de non-conformité, par exemple, ne crée
pas en soi de la valeur pour l’entreprise. Mais si cette faiblesse reste inconnue et qu’un
régulateur la détecte, alors l’entreprise devra subir des pertes à la fois directes (amende)
et indirectes (image). Dans ce cas précis, les contrôles de l’audit permettent d’éviter
des pertes, ce qui doit assurément être assimilé à un mécanisme de création de valeur.
Eviter les pertes, particulièrement les pertes causant des dommages de réputation,
doit être une priorité pour toute organisation. Un seul manquement aux obligations légales, un seul faux-pas commercial et la tempête médiatique peut devenir une sérieuse
menace pour l’entreprise. Il n’est guère surprenant de retrouver le risque de perte de
réputation en haut du classement des risques majeurs établi par The Economist12 avec
un index de 52. Le risque de non-conformité étant en seconde position avec un index
de 41. Il se trouve que ces deux risques majeurs sont justement ceux que l’audit interne
adresse directement.
Les outils de l’audit interne au service de la gouvernance
Le travail de l’audit interne est aligné sur les processus de l’entreprise. Ainsi, les missions,
les constats et les recommandations d’audit sont organisés par processus métiers que
l’audit interne revisite régulièrement dans leur intégralité. Cela signifie simplement que
12
Digital Risk: the challenge for the CRO; Economist Intelligence Unit; September 2005
© MEGA - April 2012
11
chaque processus métier est audité, analysé, ses risques sont évalués et ses faiblesses
signalées et ses zones d’amélioration révélées. Tout ce travail d’analyse effectué par
l’audit génère un grand volume de données relatives à la performance du processus.
Au-delà de l’exposition au risque, il est possible et souhaitable d’aller plus loin en utilisant l’ensemble des statistiques obtenues, comme autant d’outils de contrôle de la
performance. Par exemple, le nombre et le niveau de recommandations ouvertes sur
un processus est un indicateur du potentiel d’amélioration de ce processus. Surveiller
ce même indicateur dans la durée permet de mesurer le temps moyen de réalisation
d’une recommandation, et ainsi la réactivité des opérations. Les évaluations des risques
et des contrôles liés au processus étudié sont encore une autre source d’indicateurs au
service de la performance de l’entreprise.
L’audit interne peut sans conteste fournir au management un grand nombre d’outils
permettant d’améliorer la gouvernance des opérations, à la condition que l’information
puisse circuler de manière efficace au sein de l’organisation. Ces efforts doivent être
faits pour capitaliser au maximum le travail effectué par l’audit interne. C’est à cette
dernière condition que l’audit interne pourra efficacement contribuer à l’amélioration
des performances de l’entreprise.
© MEGA - April 2012
12
3
Conclusion
L’entreprise s’est progressivement dotée de fonctions supports pour l’accompagner dans
l’exécution de ses opérations et pour prendre en compte l’évolution de son environnement. Les directions financières d’abord, mais aussi de l’informatique, des ressources
humaines, de la qualité, etc., sont parmi les plus connues. Pour toutes celles directement
associées aux opérations, elles ont mis au point un corpus méthodologique d’optimisation
du fonctionnement de l’organisation (juste à temps, management participatif, qualité
totale, approche processus).
Au même moment, la globalisation et les déséquilibres entre pays ont révélé une autre
échelle d’enjeux de restructurations des entreprises (fusions, délocalisation, joint-ventures…), dopées par la dynamique des marchés financiers. Tous les savoir-faire d’optimisation ont alors été relégués au second plan, au profit d’une création de richesse
pilotée par une gouvernance essentiellement financière. C’est dans ce contexte qu’est
apparu l’audit interne, comme un garde-fou aux dérives associées.
Ce que nous impose la crise financière, le rééquilibrage du monde et l’augmentation
des coûts de l’énergie, c’est un retour aux enjeux de l’optimisation et de l’amélioration
continue. Elle replace la gouvernance financière comme pur instrument de développement et la gouvernance opérationnelle comme la pratique de la création de valeur
durable. C’est sur les savoir-faire métiers et sur le talent des auditeurs au service du
retour à une économie réelle que nous parions aujourd’hui. L’aura acquise au sein de
la direction financière, les méthodes précises et systématiques associées à la fonction,
l’indépendance, la relation privilégiée avec le comité de direction et le conseil d’administration sont leurs principaux atouts pour participer à ce défi du XXIe siècle.
© MEGA - April 2012
13
MEGA International : la société
–– créée en 1991
–– 300 personnes
–– dont 130 consultants
–– plus de 2.400 clients
–– 75.000 utilisateurs dans plus de 40 pays
–– 8 implantations : France, Italie, Royaume-Uni, Allemagne, Etats-Unis, Mexique,
Japon, Singapour
–– plus de 25 partenaires et distributeurs à travers le monde
© MEGA - April 2012
14
White Paper
White Paper
White Paper
www.mega.com
Téléchargement
Explore flashcards