>
EN PRATIQUE SOMMAIRE
N°14 FÉVRIER 2008
Dossier
Audit interne Longtemps, le rôle des auditeurs internes s’est surtout cantonné à une attitude quelque peu défensive qu’on peut qualifier de « gendarme » interne. Aujourd’hui, les entreprises attendent de la fonction qu’elle participe plus activement à la création de valeur. Enquête sur un métier en pleine mutation.
FINANCE MANAGEMENT - CFO MAGAZINE - N° N°14 °14 - F °1 FE FEVRIER EV VRI VR R I ER E R 20 200 2 2008 00 0 08
1
DOSSIER FISCALITÉ TEXTE : CHRISTOPHE LO GIUDICE
L’auditeur interne:
du gendarme au
consultant interne 2
Longtemps, le rôle des auditeurs internes s’est surtout cantonné à une attitude quelque peu défensive qu’on peut qualifier de « gendarme » interne. Objectif premier: éviter et contribuer à résoudre les problèmes. Aujourd’hui, les entreprises attendent de la fonction qu’elle contrôle la bonne conformité aux réglementations en tous genres, qu’elle examine une plus large gamme de risques et qu’elle participe plus activement à l’amélioration des performances de l’organisation. Rien de moins! Enquête sur un métier en mutation.
L
es nombreuses enquêtes très récemment pu-
états financiers, conformément à un cadre de reporting défini,
bliées autour de la fonction díaudit interne ne
et pour garantir aux actionnaires que les chiffres publiés reflè-
laissent planer aucun doute: le monde de líen-
tent une image correcte et juste de l’état des affaires de la socié-
treprise attend de plus en plus des auditeurs
té et du bénéfice – ou de la perte – constaté à la fin de l’exercice.
internes. Pour mieux cerner les missions et les rôles de líaudit
L’audit interne donne quant à lui un type de garantie différent
interne, líétat de la pratique dans les entreprises ainsi que sa va-
au Conseil d’administration et/ou au comité d’audit. Il est plus
leur ajoutée pour le conseil díadministration, le CEO et le direc-
impliqué dans les processus opérationnels, d’un point de vue
teur financier, líInstitut des Auditeurs internes (IIA Belgium) et
de l’efficience, de l’efficacité, de l’opportunité, de la conformité
Finance Management ont réunis pour une table ronde plusieurs
et de l’exhaustivité des informations. Son approche n’est donc
responsables de líaudit interne en entreprise.
pas uniquement celle des états financiers. En d’autres termes, là
LíIIA Belgium représente plus de 1.300 membres et 350 organisa-
où les commissaires aux comptes se concentrent sur les consé-
tions en Belgique, avec une place prépondérante occupée par le
quences financières des processus et regardent donc plutôt le
secteur bancassurance, le seul à comporter des obligations légales
passé, les auditeurs revoient tous les processus d’activités et les
en la matière. Elle représente donc un excellent observatoire de la
risques impliqués, avec un regard vers le futur dans une démar-
pratique, tant dans notre pays qu’à l’international de par ses liens ses
che de recherche d’amélioration continue. »
homologues répartis dans 165 pays! Autour de la table: Pascale Vandenbussche, Chief Staff Officer de l’IIA Belgium, Michel Weber, direc-
Comment décrire la fonction à son origine?
teur de l’audit chez Recticel, Philippe Dangre, directeur de l’audit chez
Pascale Vandenbussche: « Lorsque j’ai fait mes premiers pas dans
Base, et Atila Kas, responsable de l’audit chez Generali Belgium.
l’audit interne il y a une quinzaine d’années, je sortais moi-même de l’audit externe. Sans trop schématiser, je résumerais ce qu’était
En quoi la mission d’audit interne se distingue-telle de celle des auditeurs externes?
la fonction en la qualifiant de ‘gendarme interne’. En ce sens, elle pouvait être plutôt mal considérée dans l’organisation. »
Pascale Vandenbussche: « L’auditeur externe est légalement
Philippe Dangre: « Au départ, la fonction d’auditeur interne a,
requis pour émettre une opinion concernant l’élaboration des
en partie, été créée parce que le coût des auditeurs externes
FINANCE MANAGEMENT - CFO MAGAZINE - N°14 - FEVRIER 2008
ral Deposit Insurance Corporation Improvement Act réagissait aux faillites bancaires aux Etats-Unis, le Sarbanes-Oxley Act résultait de la faillite d’Enron. Les autorités américaines ont obligé les entreprises à mettre en place un système de contrôle interne qui puisse raisonnablement garantir l’intégrité des comptes et le respect des lois et règlements. »
Comment se positionne la fonction dans les entreprises? Philippe Dangre: « Pour l’avoir exercé dans plusieurs entreprises différentes et en avoir observé beaucoup d’autres, je peux vous dire qu’il en existe autant de déclinaisons que de secteurs et d’entreprises ou presque! Ce qui peut avoir des conséquences très importantes sur son efficacité. » Pascale Vandenbussche: « Il existe néanmoins des standards, d’ailleurs assez généraux que pour pouvoir s’appliquer à tous. Je pense notamment à la question de l’indépendance des auditeurs internes. Pour que l’évaluation soit réalisée de façon professionnelle, impartiale, sans pression ni conflit d’intérêts, la fonction doit s’inscrire dans un positionnement adéquat au sein de l’organisation. Cela n’est possible que lorsque le lien fonctionnel est fait au comité d’audit – ou, en son absence, au conseil d’administration –, le lien avec le CEO ou, le cas échéant, avec le CFO n’étant qu’administratif. Or, dans un certain nombre d’entreprises, l’audit interne rapporte au CFO, ce qui n’est pas recommandé. » Atila Kas: « Dans le secteur des assurances, l’audit interne est une fonction obligatoire et réglementée depuis 1999. La Commission Bancaire, Financière et des Assurances (CBFA) a émis différentes circulaires qui s’alignent sur ces standards. Aucune activité, ni aucun département, d’une compagnie d’assurances ne peuvent être exclus du champ d’application du département d’audit interne. Et l’indépendance de la fonction est en effet bien garantie. La CBFA veille par ailleurs qu’un rapport de suivi reprenant les recommandations de l’auditeur interne soit trans-
Philippe Dangre: « On entre de plus en plus dans l’appréciation de systèmes extrêmement complexes. L’auditeur interne est ainsi parfois amené à mettre en évidence l’écart entre l’assurance attendue d’un audit et le niveau réel de vérifiabilité des processus audités. »
mis par le comité de direction à son conseil d’administration. »
était jugé fort élevé. Son rôle était de préparer le travail des
Philippe Dangre: « Si l’on pousse le raisonnement à l’extrême,
responsables financiers et d’anticiper sur l’intervention des
le fait même d’être sur le payroll de l’entreprise ou les perspec-
auditeurs externes. Par ailleurs, l’audit interne a vu son rôle
tives de carrière dans celle-ci posent des questions en matière
formalisé et étendu à la suite de législations promulguées en
d’indépendance. Il y a donc nécessairement un certain prag-
réaction à des scandales financiers: le Foreign Corrupt Prac-
matisme à avoir tout en l’assortissant de balises claires. »
Pascale Vandenbussche: « Cette indépendance ne peut être garantie que pour autant que l’audit interne rapporte à quelqu’un qui n’est pas opérationnel dans la structure. C’est à cela que l’on peut vérifier que cette indépendance est réelle et pas uniquement formelle. »
tices Act trouve sa source dans l’affaire du Watergate, le Fede-
Comment a évolué le rôle de l’audit interne, audelà de celui de « gendarme » déjà évoqué?
« Dans un certain nombre d’entreprises, l’audit interne rapporte au CFO, ce qui n’est pas recommandé. »
Pascale Vandenbussche: « Petit préalable: l’audit interne n’est pas responsable des procédures et du contrôle interne, mais bien du fait de vérifier que ceux-ci soient bien mis en place et fonctionnent effectivement. Vous me direz: pourquoi a-t-on besoin des auditeurs s’ils n’opèrent que cette ‘vérification’? Notre rôle consiste à fournir au conseil d’administration une assurance indépendante et objective d’une personne autre FINANCE MANAGEMENT - CFO MAGAZINE - N°14 - FEVRIER 2008
3
DOSSIER
que le CEO et/ou le CFO, ainsi qu’à fournir la même assurance
On l’élargit encore également aujourd’hui à l’évaluation de la
à ces derniers de la part d’une personne autre que les mana-
gestion des risques, incluant la notion d’opportunités opéra-
gers qui leur rapportent directement. »
tionnelles à prendre ou non. »
Philippe Dangre: « Le contrôle interne ne peut se limiter aux
Michel Weber: « Un terrain qu’il faut bien qualifier de difficile. Si
contrôles de la comptabilité, ni se réduire aux rapports finan-
la méthodologie des auditeurs permet effectivement d’explorer
ciers. Il couvre également les aspects de respect des lois et
tous ces champs-là, encore faut-il disposer des moyens néces-
règlements – ‘compliance with laws and regulations’ –, la fia-
saires et du temps pour relever l’ensemble de ces missions! »
bilité des informations financières et opérationnelles, le fait
Pascale Vandenbussche: « Il faut également évoquer tous les
que les processus en place – dépassant d’ailleurs la finance
développements des sujets concernant la gouvernance d’entreprise et l’éthique qui ont des impacts sur notre métier… »
– soient rationnels et efficaces, la protection des actifs, etc.
Philippe Dangre: « … et on peut dire qu’on aboutit ainsi à des attentes de la part des actionnaires qui sont démesurées par rapport aux possibilités réelles que nous avons. Si, dans les banques et les
« 57% des responsables de l’audit interne disent rapporter au comité d’audit et 14% seulement ont une fonction purement de type support. » 4
assurances, les départements d’audit interne s’inscrivent dans un rapport de un à cent vis-à-vis de l’ensemble de l’organisation, il se situe plutôt dans un rapport de un à mille dans les autres secteurs, même si certaines entreprises sortent du lot avec une proportion un peu plus favorable. Il faut donc nuancer quelque peu la capacité d’apporter réponse à toutes ces questions. Et ce n’est pas seulement un problème d’effectifs. On entre de plus en plus
Evolution des activités d’audit interne La proportion de temps consacré à l’audit des processus
nologies de l’information sont en progression significative
financiers, aux investigations en matière de fraude et aux
sur les trois dernières années. En ce qui concerne la gouver-
audits liés au management apparaît relativement stable au
nance et l’IT, cette progression devrait encore se marquer au
cours des sept années sur lesquelles porte l’étude. A l’inver-
cours des années à venir. Par contre, les audits de confor-
se, le pourcentage de temps passé dans un rôle de conseil,
mité et les audits opérationnels devraient prendre moins de
sur des audits relatifs à la gouvernance ainsi qu’aux tech-
temps à l’agenda des auditeurs.
2,6 2,9
Autre
5,3 7,7 6,8 7,3
Audits de management
24,5
Audits opérationnels
28,9 30,6 12,1
Audits IT
10,9 8,9 7,7
Gouvernance
5,9 4,4 4,5 3,8 5,1
Enquêtes sur les fraudes
Il y a 3 ans 11,6 11,7 10,7
Audits des processus financiers
Aujourd'hui Dans 3 ans
12,4 12,3
Conseil
9,1 15,7
Audits de conformité
17,3 17,2
0
5
10
15
20
25
30
35
Source : IIARF
FINANCE MANAGEMENT - CFO MAGAZINE - N°14 - FEVRIER 2008
dans l’appréciation de systèmes extrêmement complexes, avec des questions auxquelles les gens du business eux-mêmes ne sont pas forcément capables de répondre. L’auditeur interne est ainsi parfois amené à mettre en évidence l’écart entre l’assurance attendue d’un audit et le niveau réel de vérifiabilité des processus audités. »
« Les problèmes se situent moins dans les départements qu’aux frontières de ceux-ci » Avant de rejoindre Recticel, Michel Weber a pratiqué l’audit interne chez Exxon, dans une approche que l’on pouvait déjà qualifier, il y a dix ans, de très avant-gardiste dans le domaine. Démarrant la fonction d’audit interne chez Recticel en 1998, il était clair pour lui que « la mission de l’audit interne ne devait pas se limiter à la (re)vérification de l’intégrité des comptes. Cette problématique était déjà couverte par d’autres fonctions et par l’audit externe avec bien plus de moyens. La maximalisation de la valeur ajoutée de l’audit interne était à trouver
5
essentiellement dans l’amélioration du contrôle interne d’autres processus – achats, ventes, trésorerie, etc. » Recticel est un groupe belge fortement implanté en Europe et actif dans le monde entier, avec plus de cent établissements répartis dans vingt-six pays. « Mon expérience m’a appris que les problèmes sur lesquels il faut mettre le doigt ne se situent pas tant dans les départements qu’aux frontières de ceux-ci. Nous mettons donc l’accent sur les audits de processus pour sortir de l’approche par silos, mais aussi pour mieux faire fonctionner ces différents départements ensemble. Pour l’efficience de l’audit interne, il est également important de solliciter l’avis des ‘business owners’ quant aux processus les plus risqués et, à l’intérieur de ces processus, leur opinion quant aux risques les plus importants. Ceci garantit non
Michel Weber: « L’essentiel des risques ne sont pas liés à la comptabilité, mais se logent dans le business – achats, production, ventes, etc. La comptabilité, c’est ce que le public voit et elle doit être intégré à la démarche, mais s’y limiter serait aléatoire. »
seulement une meilleure exhaustivité et priorité des mis-
Comment faire face à la situation que vous décrivez?
sions d’audit interne mais, de par leur implication, une
Michel Weber: « Si l’on parle d’évaluation des risques, et sachant
réponse plus positive des ‘business owners’. »
qu’on dispose d’assez peu de moyens, l’enjeu est d’aller à l’essentiel.
Sur ces bases, Recticel isole chaque année un processus
Le destinataire de notre information n’est, à ce titre, pas unique-
clé et procède à des audits dans différentes organisa-
ment le CEO ou le CFO – auquel la fonction a pu historiquement
tions. « Au cours de ces audits, des points de contrôle
rapporter – mais l’ensemble du business. A-t-on plus de valeur
importants sont identifiés et mesurés. Ayant réalisé cet
ajoutée pour le CFO? Ma réponse est plutôt négative: l’essentiel
exercice, nous sommes en mesure – grâce à la centrali-
des risques ne sont pas liés à la comptabilité, mais se logent dans
sation de notre ERP et l’utilisation d’un logiciel d’audit –
le business – achats, production, ventes, etc. La comptabilité, c’est
de répéter trimestriellement ces mesures et, partant, de
ce que le public voit et elle doit être intégré à la démarche, mais s’y
mieux identifier les organisations à risque nécessitant
limiter serait aléatoire. »
plus d’attention et éventuellement un audit de terrain. Ce
Philippe Dangre: « La valeur ajoutée n’en est pas moins impor-
benchmarking entre les organisations du groupe est évi-
tante pour le CFO car les risques que l’audit interne va décou-
demment très utile à l’identification et à la dissémination
vrir dans les autres départements vont être évalués financiè-
des meilleures pratiques. »
rement et vont permettre des ajustements. » Michel Weber: « C’est clair. Du fait des systèmes ERP, la foncFINANCE MANAGEMENT - CFO MAGAZINE - N°14 - FEVRIER 2008
DOSSIER
tion financière se trouve de plus en plus décentralisée dans le business avec des impacts sur la comptabilité. Il en résulte que le CFO est de plus en plus intéressé par l’audit interne et le retour qu’il peut en avoir. » Pascale Vandenbussche: « On peut également a priori parler de relation privilégiée avec le CFO du fait que l’on parle le même langage et que la compréhension mutuelle est plus grande. »
Quel est l’état de la pratique, aujourd’hui, sur le terrain? Pascale Vandenbussche: « Nous venons de finaliser une enquête menée dans le cadre de l’IIARF, l’Institute of Internal Auditors Research Foundation, auprès de responsables de l’audit interne. Celle-ci couvre quelque 12.000 répondants, dont 102 en Belgique. On peut notamment constater que 87% des répondants belges se déclarent en conformité avec les standards de l’IIA, pour 82% au niveau mondial. La pratique en Belgique est donc plutôt favorablement positionnée. L’enquête révèle également que la profession a connu un développement important tant dans ses champs d’intervention que dans sa sophistication et que les choses évoluent encore (cfr. graphique). Il ressort aussi de cette observation un bon niveau d’indépendance de la fonction puisque 57%
6 Pascale Vandenbussche: « L’audit interne n’est pas responsable des procédures et du contrôle interne, mais bien du fait de vérifier que ceux-ci soient bien mis en place et fonctionnent effectivement. »
« Attention de ne pas vivre avec l’illusion que l’audit interne, avec l’aide de l’audit externe, apporte une assurance sur tout. »
« On ne peut évaluer les obligations de SOX en termes de coûts/bénéfices » Filiale à 100% de l’entreprise néerlandaise KPN, l’opérateur
l’audit rapporte en direct au CEO alors que l’audit se référant
de téléphonie mobile Base est, par ce biais, soumis aux obli-
à SOX m’amène beaucoup plus à interagir avec l’audit groupe.
gations Sarbanes-Oxley (SOX). Historiquement présente au
Le champ d’action est également très différent: au niveau
niveau du groupe, la fonction d’audit interne a été créée
groupe, l’accent est quasi exclusivement mis sur l’intégrité
dans la filiale belge en 2002, d’abord dans cette perspec-
des comptes, peut-être même au détriment de ce que pourrait
tive de « compliance ». « Les obligations liées à SOX étant
apporter une approche plus large en matière d’audit interne
importantes et extrêmement formalisées avec des contrôles
comme nous la menons sur un plan local. »
fréquents au niveau groupe, la fonction d’audit a de la sorte
Certains vont jusqu’à dire que les obligations SOX sont coû-
acquis une visibilité importante en interne », confie Philippe
teuses et ne servent à rien ou, du moins, pas à grand-chose.
Dangre, directeur de l’audit interne de Base.
Une opinion que ne partage pas complètement Philippe
Au-delà de ce champ spécifique, il a également été chargé
Dangre. « On ne peut évaluer SOX en termes de coûts/bé-
de développer une fonction d’audit interne au spectre plus
néfices, estime-t-il. Il y a, d’une part, des effets positifs qu’il
large qui, celle-là, jouit d’une plus grande liberté d’action,
faut détecter et sur lesquels capitaliser et, d’autre part, certai-
d’exécution, de durée de ses missions, etc. « Nous touchons
nes lourdeurs du processus qu’il faut essayer d’optimiser ou
là à l’efficacité, à l’efficience des processus, à la conformité des
d’écarter, en mettant de côté ce qui est superflu, voire dom-
actions prises avec la stratégie de l’entreprise. Cette facette de
mageable pour la société. »
FINANCE MANAGEMENT - CFO MAGAZINE - N°14 - FEVRIER 2008
des responsables de l’audit interne disent rapporter au comi-
Atila Kas: « Il est toujours important de trouver l’équilibre entre
té d’audit et 14% seulement ont une fonction purement de
les notions de conformité et de performance. La première est
type support. Dans la quasi totalité des entreprises étudiées,
assez bien suivie. Mais notre valeur ajoutée essentielle viendra
l’objectivité et l’indépendance sont par ailleurs reconnues
du fait de réellement contribuer à l’amélioration de l’efficacité
comme des éléments clés de la fonction. »
et à la minimisation du niveau de risques. C’est à ce niveau que
Philippe Dangre: « Un des défis consiste aujourd’hui à nuancer
la pratique doit évoluer sur le terrain, au quotidien. »
le niveau d’assurance que l’audit est à même de produire tant pour le conseil d’administration que pour le comité de direction. Quand on lit les rapports d’audit externe, le nombre de pages de ‘disclaimers’ pourra bientôt concurrencer le nombre de pages pour le contenu du rapport lui-même. Attention dès lors de ne pas vivre avec l’illusion que l’audit interne, avec l’aide de l’audit externe, apporte une assurance sur tout. Il y a une expli-
Quand on parle de susciter des améliorations, encore faut-il que les managers et leurs équipes soient convaincues de leur bien-fondé. Votre fonction implique-t-elle sinon une dimension de « vente » ou, à tout le moins, une démarche de marketing vis-à-vis de vos recommandations?
cation à fournir à ce niveau. En termes d’analyse de risques, par
Philippe Dangre: « Ce n’est pas ma philosophie et je trouve
exemple, nous pouvons fournir une photographie: c’est ensuite
même l’idée d’une sorte de marketing interne assez mal-
au conseil d’administration ou au comité de direction d’avaliser
saine. Si l’entreprise décide de mettre en place l’audit interne,
le niveau de risque résiduel jugé acceptable. On le voit dans le
il n’y a pas de raison que les recommandations aient à être
cadre des banques qui souffrent actuellement le plus de la crise
‘vendues’. Le fait d’avoir capté une déficience n’implique pas
des subprimes: je pense à une grande institution bancaire amé-
qu’elle doive disparaître: nous mettons à disposition une
ricaine où l’audit interne est extrêmement poussé, complète-
photographie que nous devons être à même de défendre
ment indépendant et très actif en matière d’analyse de risques
mais, ensuite, il en va de la responsabilité du management
et, malgré ça, elle subit la crise de plein fouet! »
de mettre en œuvre ou non nos recommandations en fonc-
7
FINANCE MANAGEMENT - CFO MAGAZINE - N°14 - FEVRIER 2008
DOSSIER
tion de ses priorités, de ses moyens, etc. Je suis responsable de ce qui se trouve dans mes rapports et de la réalité de leur contenu. Mais l’utilisation de ces rapports dépend aussi de la culture de l’entreprise: dans certains groupes, une recommandation de l’audit interne équivaut à un ordre formel… » Atila Kas: « Le marketing interne ne porte pas exclusivement sur les recommandations mais aussi sur le suivi de celles-ci au sein de l’entreprise. On peut dire que c’est quasiment le cas dans notre secteur de l’assurance, lorsque le processus d’audit est clairement assimilé. Il y a véritablement un suivi qui s’opère. Dans ce cas, il n’y a rien à ‘vendre’: la vente interne s’opère toute seule… »
« La Roll’s Royce va bientôt s’offrir un turbo » Generali Belgium, tout comme dans le secteur financier dans son ensemble (banques et assurances) investit dans une fonction d’audit interne très structurée. Une priorité qui s’explique par les dispositions légales en vigueur. Le service d’audit interne compte ainsi quatre
8
personnes pour un effectif total d’environ 500 personnes. « Comparé à d’autres secteurs, la qualification de Roll’s Royce vient du fait que l’audit interne est une obligation par rapport aux autorités de contrôle, confirme Atila Kas, responsable de l’audit interne chez Generali Belgium. Les dispositions européennes vont à terme encore rajouter un turbo derrière! » L’homme ne s’en cache pas: ce cadre législatif contraignant offre une forme de privilège à une équipe qui, sans doute, a moins besoin qu’ailleurs de chercher à
Atila Kas: « Il est important de trouver l’équilibre entre les notions de conformité et de performance. Notre valeur ajoutée essentielle viendra du fait de réellement contribuer à l’amélioration de l’efficacité et à la minimisation du niveau de risques. »
s’affirmer. « L’audit interne permet également des analyses transversales qui ont une grande valeur ajoutée pour
Michel Weber: « Pour ma part, j’ai longtemps travaillé avec
le CEO et le CFO, son comité d’audit ainsi que pour l’en-
des rapports très formalisés. Six années après que la fonc-
semble du management, ajoute-t-il. En plus des activités
tion ait été créée chez Recticel, j’ai procédé à une évaluation
quotidiennes, nous nous intéressons à des questions fon-
du suivi des recommandations pour conclure qu’il n’était
damentales et stratégiques comme: où en est l’entreprise
pas optimal. La cause étant souvent l’interposition d’autres
aujourd’hui et où veut-elle aller demain. »
priorités. Ce n’est pas un problème en soi si l’organisation
Une position privilégiée quand on sait que les audi-
concernée est capable de justifier pourquoi elle ne donne pas
teurs, en particuliers externes, ont tendance à surtout
le suivi escompté. Malheureusement, ce n’est pas toujours le
regarder le passé: « Ici, nous intégrons également les
cas. Dès lors, je me suis distancié de ces rapports formalisés
dimensions de stratégies à moyen et long termes, avec
pour adopter une approche plus ‘pragmatique’. D’abord, par
un regard sur les négociations menées au plus haut ni-
le contenu: il est important que l’audit interne collationne
veau. L’objectif: analyser dans quelles mesures les options
l’ensemble des problèmes de contrôle interne, en ce compris
présentées ou les décisions prises sont adaptées ou non
ceux – de plus en plus nombreux – mis en exergue par les
à l’environnement interne de l’organisation. Cette démar-
auditeurs externes, mais aussi par d’autres fonctions de Rec-
che permet de prendre du recul et d’intégrer différentes
ticel (ICT, comptabilité, etc.). Ceci permet une meilleure prio-
décisions pour en valider la cohérence globale: est-ce que
ritisation. Pragmatisme également par l’outil: une base de
tout est bien pris en considération, documenté en âme et
données permettant une gestion automatisée de la commu-
conscience professionnelle? Cela rejoint également l’idée
nication et des délais permet, sur un mode conversationnel,
de gestion des risques et de conseil interne. »
un meilleur suivi. Cette approche, à la limite du consulting, me semble aujourd’hui essentielle. »
FINANCE MANAGEMENT - CFO MAGAZINE - N°14 - FEVRIER 2008
DOSSIER TEXTE: CHRISTOPHE LO GIUDICE
L’auditeur interne
confronté à une inflation des attentes
L’audit interne se trouve dans une phase charnière de son histoire, à en croire plusieurs études récentes sur la fonction. Champs d’action plus larges, inflation des compétences requises, défis croissants à l’agenda… le tout dans un contexte de guerre des talents marquée pour le type de profils requis. Seule solution: anticiper!
L
es auditeurs internes font l’objet de toutes
Cette évolution ne fait pas seulement apparaître de nou-
les attentions. Plusieurs enquêtes et livres
veaux défis importants, mais aussi de nombreuses diffi-
blancs viennent ainsi de passer au crible l’état
cultés nouvelles. « L’audit interne devra dorénavant trouver
de la fonction et les évolutions qu’elle vit
un équilibre entre les attentes du Comité d’audit – ‘évitez les
aujourd’hui dans les entreprises. Confirmation des propos
problèmes’ – et celles de la direction – ‘faites progresser notre
échangés par les intervenants à la table ronde organisée par
business’ », résume Inge Boets, Global Business Risk Services
l’Institute of Internal Auditors (lire les pages qui précèdent):
Leader chez Ernst & Young. Traduction: les auditeurs inter-
« Jusqu’ici, la principale tâche des auditeurs internes était
nes doivent plus que jamais prouver leur importance straté-
de vérifier que les règles en matière d’établissement de rap-
gique au sein de l’entreprise. Mais, pour ce faire, les mana-
port financier étaient respectées, souligne Ernst & Young en
gers en audit interne devront penser autrement et surtout
marge de la publication de son étude Global Internal Audit
réagir plus rapidement.
Survey. Les entreprises attendent également d’eux qu’ils exa-
Même constat posé par KPMG dans son récent Livre Blanc in-
minent une plus large gamme de risques d’entreprise et qu’en
titulé The Changing Role of Internal Audit. « La fonction est
plus, ils améliorent ses performances financières. »
confrontée à de nouvelles demandes de la part du conseil d’ad-
FINANCE MANAGEMENT - CFO MAGAZINE - N°14 - FEVRIER 2008
9
DOSSIER
ministration, des leaders de l’organisation et des régulateurs
tion avec d’autres fonctions liées à l’audit au sein de l’entre-
bien au-delà des questions traditionnelles de conformité aux
prise », confirme l’étude menée auprès de 138 professionnels
régulations, y lit-on. Leur rôle s’élargit pour inclure des activi-
de l’audit interne dans 24 pays.
tés liées à la création de valeur, dans une perspective de plus
Une coordination qui se révèle bien nécessaire, à en croire
grande performance. »
les répondants. Ainsi, seuls 29% d’entre eux déclarent que l’audit interne interagit et travaille en bon alignement avec
PLUS STRATÉGIQUE
les autres fonctions de risk management présentes dans l’or-
Une évolution qui n’est pas sans lien avec l’évolution que
ganisation. Dans près d’un cas sur cinq, il n’existe que peu ou
connaît la fonction de CFO dans bien des organisations, pré-
pas du tout de partage d’informations.
cise KPMG. « Traditionnellement, le CFO est en charge de domaines tels que le risque, le reporting financier, la conformité
PÉNURIE DE COMPÉTENCES
aux règlements en vigueur et les infrastructures. Ce qu’on peut
Si les défis en termes de champs d’activité ne manquent
qualifier de rôle de ‘préservation de valeur’. Aujourd’hui, ils se
pas, le plus sérieux chantier à rencontrer porte, d’après Ernst
voient confier d’autres champs d’action en complément: ils se
& Young, sur le fait de trouver des personnes disposant des
trouvent ainsi de plus en plus au centre des processus de déci-
compétences adéquates pour identifier et gérer les risques
sion, d’influence et de leadership. On attend d’eux un rôle plus stratégique et orienté vers le business. » De même, l’auditeur interne se positionne dans une perspective de ‘création de valeur’, notamment en matière de connaissances des risques de sorte de participer à l’amélioration de leur gestion. « En mettant en œuvre des analyses des risques au niveau de l’entreprise et en couvrant les principaux domaines à risques, l’audit interne peut améliorer la coordina-
10 « Améliorer la préservation de valeur, étendre la création de valeur »
« L’audit interne doit trouver un équilibre entre les attentes du Comité d’audit – ‘évitez les problèmes’ – et celles de la direction – ‘faites progresser notre business’ » d’entreprise croissants. Pas moins de 49% des structures sondées disent avoir augmenté la taille de leur fonction d’audit interne au cours des douze derniers mois et 38% des répondants indiquent qu’ils travaillent à moins de 90% de leur effectif budgété. De plus, 36% font état d’un taux de rotation annuel supérieur à 15%. Les compétences les plus difficiles à trouver sont celles liées à l’ITC, aux fraudes ainsi qu’aux risques d’entreprise et opérationnels. Plus d’un tiers des sondés affirment disposer d’un nombre insuffisant de collaborateurs instruits en matière de dépistage et prévention des fraudes. Parmi les autres domaines en déficit de personnel compétent, figurent ceux des transactions et de la taxation. Les résultats de l’enquête indiquent aussi que les équipes d’audit interne devront fournir des efforts importants pour élargir leurs compétences de base au domaine des risques d’entreprise et opérationnels.
D’après le Livre Blanc publié par KPMG, l’audit interne a pour double défi de maintenir et de renforcer ses activités de « préserva-
EN PROFONDEUR
tion de valeur » (cercle en bas à droit sur le graphe) et de s’impli-
L’aspect international apparaît également comme un défi
quer plus en profondeur dans des activités « créatrices de valeur »
important pour les entreprises globalisées. « La plupart des
(cercle en haut à gauche), ce qui implique de la part des auditeurs
analyses des risques internationales sont réalisées au niveau
internes de nouvelles compétences en ligne avec cet objectif.
des quartiers généraux et tiennent par conséquent trop peu compte de la langue, la culture et la réglementation locale. El-
Source: KPMG, The Evolving Role of the Internal Auditor, 2007
les ne traitent donc pas les questions suffisamment en profondeur », pointe le rapport. Autre chantier de taille: trop peu de
FINANCE MANAGEMENT - CFO MAGAZINE - N°14 - FEVRIER 2008
départements d’audit évaluent le résultat de leur action. La moitié des répondants ne mesurent pas la valeur que la fonction d’audit interne apporte à l’organisation, alors que 13% font ce calcul sur base d’économie de coûts générée. Les metrics utilisés paraissent par ailleurs très rudimentaires: le pourcentage des audits réalisés comparé au plan d’audit est utilisé par 89% des répondants, pour 72% mesurant leur efficacité à la durée mise pour sortir leur rapport. « Si elle veut renforcer sa pertinence pour les stakeholders, la fonction d’audit interne se doit d’aligner ses plans d’audit et la mesure de leurs performances à l’aide de mécanismes liées à la création de valeur pour le business. »
EN TEMPS RÉEL De son côté, PricewaterhouseCoopers a également réalisé une étude visant à identifier les tendances susceptibles de dessiner les contours de la profession à l’horizon 2012. A cette fin, un questionnaire a été envoyé à plus de 250 directeurs d’audit interne parmi les entreprises du classement « Fortune », analyse complétée par des entretiens avec certains d’entre eux pour un volet plus qualitatif. Plus de la moitié d’entre eux s’attendent ainsi à un champ d’intervention plus dynamique de l’audit, dans le cadre d’une gestion des risques « plus en temps réel ». Ce plan sera modifié en cours d’année, de manière bien plus fréquente, sur la base de l’évolution d’indicateurs de risques. Se marque par ailleurs une belle unanimité quant au fait que les outils technologiques, tant dans leur évolution que dans leur utilisation, prendront une part croissante dans le quotidien de l’audit interne d’ici 2012. Autre constat: les compétences traditionnelles en matière d’audit et de comptabilité devront être complétées par d’autres aptitudes, plus adaptées à une démarche d’analyse par les risques, par exemple l’analyse de données, les technologies de l’information et la détection de la fraude, etc. « Au cours des cinq prochaines années, ces tendances vont vraisemblablement impacter de façon structurante de nombreux départements avec des effets différents en fonction des secteurs d’activité, de la culture d’entreprise et des attentes des dirigeants, conclut-on chez PwC. Néanmoins, c’est aujourd’hui qu’il faut s’interroger sur ces grandes questions pour être en mesure de répondre aux enjeux de demain… »
Une photo de l’audit interne en Belgique En Belgique, la fonction d’audit interne se porte plutôt bien, révèle une enquête menée dans le cadre de l’Institute of Internal Auditors Research Foundation (IIARF) auprès de 12.000 responsables de l’audit interne dans le monde, dont 102 en Belgique. Quelque 57% des répondants belges décrivent leur fonction comme indépendante, rapportant au Comité d’audit ou à son équivalent. Globalement, il ressort de l’enquête que la fonction est considérée comme suffisamment crédible au sein de l’organisation et qu’elle dispose du statut requis pour être réellement efficace. Pour un directeur de l’audit interne sur quatre, son service était jugé suffisamment staffé au moment de répondre à l’enquête, mais une proportion identique reconnaît réduire le champ des activités dès lors que les ressources humaines ne sont pas disponibles. Un sur trois déclare faire appel au « co-sourcing » et à l’outsourcing pour compenser le manque de compétences internes. En moyenne, les répondants ont reçu 58 heures de formation sur l’année. Des formations qui sont plus fréquentes dans les organisations où l’audit interne est très développé et qui tournent alors autour de la pratique et des strandards du métier (80% y sont formés chaque année ou plus souvent), de l’éthique (80%), des compétences en communication (80%) et du travail en équipe (40%). Les personnes sondées ont également été confrontées à une liste de 27 activités touchant à l’audit interne afin d’identifier celles qu’elles prenaient en charge dans le cadre de leur fonction. Cinq en ressortent communes à tous les secteurs: administration (plan d’audit, affectation des tâches, etc. – 96%), audits opérationnels (92%), testing de contrôle interne et évaluation de systèmes (90%), audit interne pur (87%), évaluation de la conformité aux règlements et codes de gouvernance (64%). Si l’on considère le top 10, il ressort certaines différences selon la taille des équipes d’audit interne: les plus grandes prennent plus en charge l’évaluation du département IT ainsi que les audits financiers que les petites, plus actives en ERM, audit éthique et problèmes de sécurité. Si les activités externalisées ou co-sourcées sont relativement rares, certaines tendances peuvent être dégagées. Les formations aux techniques d’audit (30%), les audits financiers (28%) et l’évaluation de la qualité de l’audit interne (24%) sont les plus externalisés, alors que l’investigation en matière d’irrégularité ou de fraude ou l’évaluation de la conformité aux politiques internes s’inscrivent plus souvent dans une perspective de co-sourcing. Un tiers des sondés déclarent que l’audit interne ne joue pas un
« La plupart des analyses des risques internationales sont réalisées au niveau des quartiers généraux et ne traitent pas les questions suffisamment en profondeur. »
rôle de conseil en matière de développement stratégique, mais un sur cinq s’attend à voir sa fonction jouer un tel rôle dans les trois ans à venir. Un peu moins d’un répondant sur trois prend en charge des formations de membres du comité d’audit interne et quatre sur dix jouent un rôle de formateur interne auprès du personnel de l’entreprise en matière de contrôle interne, de corporate governance et de conformité. Plus d’un sur cinq s’attend à ce que la fonction prenne un tel rôle dans les trois ans à venir.
FINANCE MANAGEMENT - CFO MAGAZINE - N°14 - FEVRIER 2008
11