Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorL’audit interne externalisé creusera-t-il sa propre tombe ?

​L’audit interne externalisé creusera-t-il sa propre tombe ?

La faillite du deuxième groupe britannique de construction a suscité la controverse sur des signaux d’alerte manqués ou ignorés. Suite à la chute du géant du BTP Carillion, administrateurs, auditeurs et régulateurs, à savoir le Financial Reporting Council et le Pensions Regulator, n’ont pas été épargnés par la critique.

Alors que le Parlement et d’autres cherchent à établir les responsabilités pour l’effondrement de Carillion, leurs investigations donnent matière à réfléchir sur le rôle que l'audit interne a joué dans cette débâcle.

L’intégralité des missions d’audit interne de Carillion avaient été confiées à Deloitte, alors que KPMG était en charge de l’audit des états financiers. L’audience, qui s’est tenue en février dernier devant deux comités de la Chambre des communes, a mis les représentants des deux cabinets sur la sellette. Comme je l’ai écrit à de nombreuses reprises, je m’inquiète toujours dès que la question « où était l’audit interne ? » est posée à la suite d’un scandale et honnêtement, certaines des réponses fournies par le représentant de Deloitte m’ont mis extrêmement mal à l’aise.

Comme je le décris plus bas, les services fournis par Deloitte à Carillion étaient très restreints et n’ont pas permis aux membres du comité d’audit d’avoir une vision globale de l’environnement de contrôle. Il est également apparu qu’ils ne ciblaient pas certains risques majeurs encourus par l’entreprise.  Selon les transcriptions d’audience, Deloitte estime avoir fait son travail correctement et ne pas avoir été mandaté pour questionner ou alerter le comité d'audit sur la dette croissante ou d’autres problématiques émergentes.

Michael Jones, l’associé en charge de l’audit interne chez Deloitte, a déclaré aux comités : « Notre rôle est d’évaluer l’environnement de contrôle de l’entreprise et de faire des recommandations.  Pour ce faire, nous élaborons un plan, généralement sur trois ans, puis nous développons un plan pour chaque année. Nous en discutons avec l’entreprise avant de le présenter aux membres du comité d’audit à qui nous expliquons ce que nous faisons et ce que nous ne faisons pas. »

Il est surprenant qu’une entreprise exerçant son activité dans l’environnement économique dynamique d’aujourd’hui, choisisse un plan d’audit sur trois ans. La plupart des sociétés modernes optent pour des plans annuels d'audit interne, mis à jour tout au long de l’année. En outre, même si l’évaluation et les recommandations sur l’environnement de contrôle apportent de la valeur, la plupart des fonctions d’audit interne hautement performantes se concentrent également sur les risques clés en matière de finances, d’opérations, de conformité et de stratégie auxquels leurs entreprises font face.

Un autre témoignage confirme la vision restrictive du cabinet Deloitte quant à son rôle de prestataire de services d’audit interne pour Carillion. Il n’a pas participé à toutes les réunions du comité d’audit. Il n’a pas jugé utile d’en apprendre davantage sur une thématique (le recouvrement de créances) à laquelle le directeur général consacrait beaucoup de temps.  Il n’a pas posé de questions en découvrant que les évaluations de nombreux projets réalisées par des pairs affichaient des prévisions plus pessimistes en matière de bénéfices et de pertes.

Pour être tout à fait honnête, Deloitte n’est pas le seul à avoir une vision myope de l’audit interne.  La direction générale et les membres du comité d’audit étaient responsables du périmètre d’intervention de l’audit interne.  J’imagine que la décision de Carillion de sous-traiter la fonction à un membre respecté des Big Four a créé un faux sentiment de sécurité. La précieuse leçon que les directions générales et les comités d’audit devraient en tirer, c’est que l’audit interne ne fonctionne pas bien en pilotage automatique. Un réel engagement est nécessaire pour bénéficier des points de vue et de la vision prospective que celui-ci peut fournir.

La controverse autour des missions d’audit interne réalisées par Deloitte pour le compte de Carillion n’est pas sans précédent.  Aux États-Unis, la Federal Deposit Insurance Corp. (FDIC) a intenté un procès à Crowe Horwath, prestataire de services d’audit interne pour la Colonial Bank qui a ensuite fait faillite. Dans son recours, la FDIC a accusé le cabinet de « faute professionnelle, de négligence grave et de présentation erronée par négligence » dans le cadre de sa prestation de services d’audit interne pour le compte de la Colonial Bank. Elle a notamment accusé le cabinet de ne pas avoir respecté un certain nombre de normes de l’IIA lors de la réalisation de la mission. Selon MarketWatch, la FDIC a conclu un accord avec Crowe, en attente d’approbation par la Cour.

Depuis les années 90 au moins, l’IIA a encouragé le déploiement de stratégies de gestion des ressources reposant sur des prestataires de services.  Je suis même allé jusqu’à suggérer que l’adoption d’une stratégie efficace de co-traitance était une meilleure pratique. Selon une enquête de l’IIA, plus de la moitié des fonctions d’audit interne du Fortune 500 ont recours aux services d’un ou de plusieurs prestataires externes.

Il existe des cas où un modèle totalement externalisé est justifié, par exemple lorsqu’une entreprise souhaite transformer profondément sa fonction d’audit interne en recrutant de nouveaux collaborateurs ou qu’une nouvelle fonction d’audit interne est en train d’être créée.  Même si une externalisation totale n’est pas un modèle idéal pour la prestation de services d’audit interne, l’IIA a reconnu le besoin de fournir des lignes directrices supplémentaires dans une prise de position. Cette dernière expose les enjeux et indique des précautions importantes à prendre concernant l’externalisation de la fonction d’audit interne.  L’IIA estime que « la supervision et la responsabilité́ de l’activité́ d’audit interne ne peuvent pas être confiées à un prestataire extérieur. »

Au moins deux exigences absolument primordiales devraient être respectées dans le cadre de missions d’audit interne totalement externalisées : (1) un correspondant au sein de l’organisation, de préférence un membre de la direction générale ou un cadre dirigeant, devrait être chargé de « gérer » l’audit interne et (2) la mission devrait être réalisée par des professionnels compétents, en vertu des Normes internationales pour la pratique professionnelle de l'audit interne de l’IIA.  Dans les affaires Carillion et Colonial Bank, le problème ne vient pas de l’externalisation de l’audit interne. La question est de savoir si la fonction d’audit interne a bien fait son travail tout en faisant l’objet d’une supervision adéquate de l’organisation.

Ayant une certaine expérience de la culture du management des risques des grands cabinets d’audit qui réalisent souvent ce type de missions, il existe au moins deux raisons pour lesquelles je suis convaincu que les accusations très médiatisées contre les prestataires externes d’audit interne susciteront la consternation : (1) le risque de procès et (2) l’atteinte potentielle à l’image de marque de l’entreprise.  À mesure que des affaires de ce type font surface, je m’attends à ce que les cabinets d’audit effectuent un examen approfondi des clients en quête d’un prestataire externe et à ce que les contrôles et la conformité aux normes professionnelles soient renforcés lors de la réalisation des missions.

A défaut, je ne serais pas surpris de voir des cabinets d’audit renoncer à des missions totalement externalisées, qui sont bien plus risquées que le modèle plus commun de co-traitance. En d’autres termes, si les accusations et les poursuites contre les cabinets d’audit continuent, l’audit interne totalement externalisé pourrait creuser sa propre tombe.

Je conclurais en reconnaissant qu’il existe un grand nombre d’excellents prestataires de services dans le monde qui exécutent des missions d’externalisation et de co-traitance. Je sais d’expérience que les hommes et les femmes qui participent à ces missions sont déterminés à fournir des services de qualité à leurs clients. J’encouragerais donc les cabinets, leurs associés et leurs collaborateurs à tirer des enseignements des affaires Carillion et Colonial Bank et à fournir des services d’audit interne inattaquables.

Richard Chambers

Pour information

Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.