Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorLes 10 événements qui ont marqué l’audit interne au cours de la dernière décennie

Les 10 événements qui ont marqué l’audit interne au cours de la dernière décennie

Au terme de ma première année en tant que PDG de l'IIA il y a dix ans, j'ai écrit un article sur les événements qui ont marqué les auditeurs internes dans les années 2000. J’ai du mal à croire que le moment est venu de le faire à nouveau ! Pour les auditeurs internes, les années 2010 ont débuté avec une attention particulière portée sur la conformité réglementaire après la crise financière de 2008. Cette décennie touche à sa fin avec une série de nouvelles réglementations visant à protéger les données des consommateurs et leur vie privée. Pour un observateur non averti, il pourrait sembler que la conformité réglementaire demeure le moteur premier de la mission de l'audit interne. Ce n'est pourtant pas le cas.

Les progrès technologiques des dix dernières années ont ouvert de nouvelles perspectives aux organisations pour lesquelles œuvre notre profession, mais ils les ont aussi exposées à de nouvelles menaces. La technologie a redéfini et repriorisé le management des risques comme jamais auparavant. En effet, de plus en plus sophistiqué et audacieux, le piratage a redéfini la cybersécurité, alors que l'intelligence artificielle promet de perturber le modèle traditionnel du travail.

Résumer en seulement quelques mots à quel point la dernière décennie a été significative pour la profession est difficile en raison du nombre de facteurs ayant eu une incidence, comme la technologie, le réchauffement climatique, l’inflation réglementaire, la mondialisation, la volatilité macroéconomique, les bouleversements géopolitiques, et l’implication de plus en plus forte des investisseurs. Cela dit, j'espère tout de même en illustrer une partie en analysant les 10 événements qui ont marqué l’audit interne ces dix dernières années.

La loi Dodd-Frank met la surveillance du management des risques par le conseil d'administration sous les feux de la rampe.
Les répercussions de la crise financière de 2008 ont mené à l'adoption d'une loi ayant fait date qui vise à protéger les institutions financières contre une prise de risque excessive et à améliorer la gouvernance d'entreprise. La loi Dodd–Frank (Dodd-Frank Wall Street Reform and Consumer Protection Act), promulguée en juillet 2010, a réformé la réglementation financière américaine, créé le Bureau américain de protection des consommateurs ainsi qu’une agence pour protéger et stabiliser le système financier. Cette loi a en outre élargi considérablement le rôle de la Réserve fédérale des États Unis.

Plus important encore pour l'audit interne, cette loi a créé des règles de gouvernance et de publication destinées à favoriser une plus grande redevabilité et à réguler toute prise de risque excessive. La loi et les règles qui en découlent, édictées par la SEC (Securities and Exchange Commission, autorité des marchés financiers américaine) et le tout nouveau Public Company Accounting Oversight Board, notifient les conseils d’administration de leur obligation de surveillance. Les administrateurs ne peuvent plus se contenter d'accepter passivement les décisions de la direction.

La Réserve fédérale américaine revoit ses attentes à la hausse quant au niveau de l'audit interne des grandes banques.
En janvier 2013, elle a établi de nouvelles directives à l’attention des banques dans son document intitulé Supplemental Policy Statement on the Internal Audit Function and Its Outsourcing. Cette déclaration semble anodine mais elle comprend un message très fort sur l'importance d'une fonction d'audit interne rigoureuse et efficace dans les établissements de services financiers. De fait, cette déclaration confère davantage d’autorité à la Réserve fédérale qu’à tout autre organe de régulation du secteur sur l’approbation des Normes internationales pour la pratique professionnelle de l'audit interne de l'IIA ou sur le mandat qu’elle leur donne. L'introduction du document l'affirme :

« La Réserve fédérale a émis ces directives supplémentaires afin d'améliorer les pratiques d'audit interne des établissements réglementés et de les encourager à adopter des normes professionnelles et autres directives faisant autorité, notamment celles publiées par l'Institut des auditeurs internes (IIA). »

Les directives de la Réserve fédérale indiquent également le peu de considération qu’elle a pour les rapports d'audit interne lorsque la fonction d’audit dépend administrativement du Directeur financier ou d'autres membres de l’équipe dirigeante qui n’est pas le DG. Il est indiqué que l'audit interne doit rendre compte administrativement au directeur général ou que le comité d'audit doit expliquer pourquoi ce n’est pas le cas dans son organisation.

Le COSO actualise ses référentiels de contrôle interne et de gestion des risques de l'entreprise.
En 2013 et 2017, le conseil d'administration du Committee of Sponsoring Organizations of the Treadway Commission (COSO) (dont je fais partie) a publié d'importantes mises à jour de ses deux cadres de référence, qui sont devenus incontournables pour établir un contrôle interne efficace et comprendre comment les risques sont gérés au sein des entreprises. La complexité croissante de la gouvernance, du risque et du contrôle dans un monde qui change à un rythme soutenu exigeait des cadres qui reflètent ces évolutions et s'y adaptent.

Il est important de noter que le référentiel du contrôle interne mis à jour s'appuie sur les priorités initiales relatives à la conception du contrôle interne, sa mise en œuvre et à l'évaluation de son efficacité. Parallèlement, la mise à jour du cadre ERM a permis de préciser en quoi consiste un management des risques efficace. Extrait de la mise à jour du référentiel relatif à la gestion globale des risques d’entreprise :

La gestion globale des risques n'est pas une fonction ou un service. Au contraire, il s’agit plutôt de la culture, des capacités et des pratiques que les organisations incorporent à leurs stratégies et qu’elles appliquent lorsqu’elles les mettent en œuvre pour gérer le risque en créant, préservant et apportant de la valeur. 

La bourse de New York met à l'honneur la profession en invitant l'IIA à sonner la cloche d'ouverture.
En juillet 2016, j'ai été très fier de rejoindre le précédent président de l’IIA et d’autres, en sonnant la cloche d'ouverture à la Bourse de New York (NYSE). Cet événement a marqué l'histoire non seulement de l'IIA, mais aussi de la profession. La Bourse de New York, partenaire stratégique de longue date et allié de l'audit interne, a une fois de plus reconnu l'importance et la valeur de notre profession pour les organisations cotées en bourse. Comme je l'écrivais à l'époque, l'IIA qui sonne la cloche à la Bourse de New York devrait inciter toutes les organisations –les sociétés cotées en bourse et les autres – à s'engager en faveur des principes de bonne gouvernance et à adopter les outils et pratiques éprouvés qui la rendent possible.

The Chartered Institute of Internal Auditors publie son Code des Services financiers (Financial Services Code).
Ces dix dernières années, la surveillance de l'audit interne par les organismes de régulation des services financiers a été un véritable phénomène mondial. En réponse aux autorités de régulation des services financiers du Royaume-Uni, le Chartered Institute of Internal Auditors a publié le Code des Services financiers en juillet 2013. Ce code visait à améliorer l'efficacité globale de l'audit interne et son impact au sein des sociétés opérant dans le secteur des services financiers au Royaume-Uni. Il a été élaboré par un comité indépendant mis en place par l'IIA, composé de représentants et d'observateurs issus des principales banques et assurances, de la Financial Conduct Authority (FCA), de la Prudential Regulation Authority et de la banque centrale britannique.
Le code a été revu et republié en septembre 2017, avec quelques changements mineurs seulement, et il annonce un code de pratique de l'audit interne plus complet, qui sera bientôt publié et qui sera applicable à la profession dans son ensemble au Royaume-Uni. 
Des scandales d'entreprise liés à la culture poussent l'audit interne à améliorer ses performances.
Comme je l’écrivais pas plus tard que la semaine dernière, des scandales d'entreprises ont éclaté avec une régularité embarrassante au cours des années 2010. À chaque scandale, la question « Où étaient les auditeurs internes » revenait sans cesse.

Alors que je précise clairement que la responsabilité des scandales incombe rarement uniquement à l'audit interne, le point positif de ces échecs est la prise de conscience croissante que la culture était souvent au cœur du scandale et que l'audit interne a un rôle à jouer dans son évaluation.

Qu’ils appartiennent ou non à la profession, nombreux sont ceux qui ont exprimé des doutes quant à la capacité de l'audit interne à évaluer efficacement la culture, mais nous avons fait beaucoup de chemin depuis. La récente publication d'un nouveau Guide pratique de l'IIA sur l’Audit de la Culture témoigne de cette évolution.

L'IIA lance la CRMA
En 2013, l'IIA a commencé à proposer la Certification in Risk Management Assurance (CRMA) pour permettre aux auditeurs internes de démontrer leur capacité à fournir conseils et assurance. Depuis, près de 16 000 auditeurs ont obtenu cette certification.

La forte demande à l’égard du CRMA, surpassée seulement par celle du CIA délivré par l'IIA, témoigne de l'importance de donner une assurance sur l'efficacité des processus clés de maîtrise des risques et de gouvernance. Aujourd’hui, dans un environnement de risques changeants, la présence d'un professionnel certifié CRMA au sein de l'équipe d'audit interne rassure les parties prenantes de l’équipe dirigeante et du conseil d'administration en leur donnant l'assurance d'avoir un conseiller fiable dans leurs rangs.

Les atteintes à la cybersécurité mettent les responsables de l'audit interne dans la ligne de mire
Je suis en mesure d'affirmer que rien n'a été plus perturbant pour les organisations et la profession au cours de la dernière décennie que les failles de sécurité informatique. Le spectre omniprésent des cyberattaques et leur couverture médiatique quasi constante ont mis en évidence les vulnérabilités des systèmes informatiques, de la gestion et la protection des données, de la formation des employés, de la gouvernance d'entreprise, et plus encore.

Dans ce contexte, les responsables de l’audit interne sont confrontés à des pressions incroyables pour former et déployer des collaborateurs capables de les accompagner avec succès dans leurs stratégies en matière de cybersécurité. La demande à l’égard d’une telle assurance entraîne une forte concurrence pour l'embauche et la rétention d'auditeurs possédant les compétences requises en SI.

Aussi injustes soient-elles, les failles de sécurité informatiques très médiatisées dans les grandes entreprises ont fait tomber plus d'un responsable de l’audit interne talentueux. Mon conseil : ne vous contentez pas de donner une assurance sur les contrôles informatiques ; assurez-vous également que l'organisation est prête à réagir lorsque des failles informatiques se produisent, ce qui est inévitable.

L'IIA définit les principes de l’audit interne.
La mise à jour de 2017 du Cadre de référence international des pratiques professionnelles comprenait l'ajout des Principes fondamentaux pour la pratique professionnelle de l'audit interne. Cette évolution était plus qu'un simple complément ou une mise à jour des lignes directrices de la profession. Les 10 principes énoncent les fondements qui régissent notre profession et nos auditeurs.

Ces principes directeurs aideront les auditeurs à rester centrés sur les principes philosophiques fondamentaux de l'audit interne alors même que la technologie, le climat, la géopolitique, la macroéconomie et les normes sociales changent le monde qui nous entoure.

L'intérêt des médias internationaux pour l'audit interne atteint des sommets.
Ces dix dernières années, la profession d’auditeur interne a fait l'objet d'une couverture médiatique importante, et la plupart du temps sous un angle positif. Enfin, de grands médias comme le Wall Street Journal, le Financial Times, Bloomberg, Fortune, Forbes commencent à avoir une compréhension approfondie et une certaine appréciation de l’assurance indépendante que l'audit interne donne aux organisations.

C'est d'autant plus remarquable que les médias, les organismes de régulation, les investisseurs et le public en général réclament plus de transparence et de redevabilité de la part des conseils d'administration et des dirigeants. On reconnaît de plus en plus que l'échec de la gouvernance d'entreprise est au cœur de nombreux scandales et qu'une bonne gouvernance d'entreprise aide les organisations à gérer les risques, favorise la durabilité à long terme et, en définitive, bénéficie au bien commun. L'IIA a bien positionné la profession pour qu’elle puisse tirer parti de cette reconnaissance croissante.

L'intérêt des médias pour l'audit interne ne se limite pas aux États Unis ou aux autres pays développés. Lors d'un récent voyage en Afrique centrale, j'ai été accompagné par les médias à chaque étape. La première question qui les préoccupe : comment l'audit interne peut-il contribuer à prévenir et à détecter la corruption dans les institutions publiques ?

Au cours de la prochaine décennie, l'IIA fera valoir avec force que l'audit interne est un élément fondamental d'une bonne gouvernance d'entreprise. Nous nous dirigeons vers la réalisation de notre objectif de 2030, qui consiste à faire reconnaître universellement que la profession est indispensable à une gouvernance, à un management des risques et à un contrôle efficaces, et je me réjouis des défis et des succès que les années 2020 nous réservent.

Communication :
Richard F. Chambers, Président et CEO du Global Institute of Internal Auditors, publie un article hebdomadaire pour InternalAuditor.org sur les questions et tendances relatives à la profession de l'audit interne.