Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorLes auditeurs internes peuvent tout auditer, mais pas n’importe quoi.

​Les auditeurs internes peuvent tout auditer, mais pas n’importe quoi.

Il arrive parfois que les clients de l'audit interne, et d’autres parties prenantes, nourrissent des attentes irréalistes à l'égard de notre profession. Il n'est donc pas surprenant qu'il puisse exister une certaine confusion autour de notre mission. Après tout, les auditeurs internes ont plusieurs casquettes. Nous sommes à la fois analystes, experts du contrôle, consultants, enseignants, partenaires, vigies, conseillers financiers, experts en conformité et j’en passe. Nous pouvons presque tout auditer. Bien que certains risques nécessitent clairement une expertise supplémentaire pour mener une mission d’audit, comme je l'ai écrit dans un article de blog en 2014, « il n'est pas nécessaire d'être un clown pour auditer le cirque. » Toutefois, comme je l'ai fait remarquer à l’époque, même si nous pouvons presque tout auditer, nous ne pouvons pas auditer n’importe quoi.

Chaque fois qu’une grave défaillance en matière de contrôle fait les gros titres, il y a toujours quelqu’un pour demander : « Où étaient les auditeurs internes ? » Comme nous l'avons trop souvent observé au cours de l’année passée, les auditeurs internes ont été impliqués et ont effectivement tiré la sonnette d’alarme avant que des catastrophes ne se produisent. Mais leurs avertissements n'ont pas bénéficié d’une attention suffisante de la part des dirigeants. Etant donné la taille et la complexité de nombreuses organisations aujourd'hui, il faudrait des fonctions d'audit interne particulièrement grandes pour faire face à tous les risques auxquels ces dernières sont confrontées. Parfois, la fonction d’audit interne manque simplement de ressources pour couvrir tous les principaux risques et, oui, il arrive qu’elle néglige un risque majeur qui s'avère désastreux.

Dans le meilleur des cas, la fonction d'audit interne ne peut être efficace que si elle dispose des ressources, de la formation et des talents nécessaires. Les auditeurs internes ne sont pas infaillibles, et compte tenu des réalités budgétaires et pour des raisons de coût, nous ne pouvons pas non plus être omniprésents.

Cela peut entraîner un décalage par rapport aux attentes et des malentendus sur ce que les auditeurs internes peuvent faire ou sur les sujets qu’ils ont effectivement traités. Plusieurs études réalisées au cours des dernières années ont révélé d'importants écarts entre les perceptions des auditeurs internes, des présidents de comités d'audit, des administrateurs et des dirigeants quant à la manière dont leurs organisations gèrent les risques de fraude et les risques éthiques. Une étude de PwC d’il y a plusieurs années a montré que 53% des présidents de comités d'audit, des administrateurs et des dirigeants pensaient que les risques de fraude et les risques éthiques étaient correctement gérés, alors que seulement 35% des responsables de l'audit interne partageaient ce sentiment.

Peter Tickner, un consultant britannique spécialiste des problématiques de gouvernance d'entreprise et de fraude, a relevé des divergences d'opinion sur les questions de responsabilité concernant la dissuasion contre la fraude ainsi que l’instauration et l’évaluation d’une culture éthique. Il a tenu ces propos : « La direction générale était convaincue que l'un des rôles clés du responsable de l'audit interne était de traiter de manière proactive les risques de fraude et de corruption, alors que, généralement, les responsables de l'audit interne estimaient que ce problème et cette responsabilité incombaient à la direction générale."

Si Peter Tickner dit vrai, il est temps de réexaminer sérieusement les rôles et responsabilités au sein des « trois lignes de maîtrise ».

Il arrive malheureusement que nos parties prenantes demandent un niveau d’assurance plus fort que celui que nous sommes en mesure de leur fournir. Le domaine de la cyber sécurité en est un bon exemple. Selon l'Institut Ponemon, 7 organisations sur 10 affirment que leurs risques de sécurité ont considérablement augmenté en 2017. Comme Jonathan Crowe de Barkly l'a récemment noté, « le début de l’année 2018 a coïncidé avec la révélation étonnante des vulnérabilités de Meltdown et Spectre, qui mettent en danger pratiquement tous les systèmes d'exploitation et appareils de la planète".

Les statistiques sont accablantes et, de toute évidence, les auditeurs internes des organisations d'aujourd'hui ne peuvent pas fournir une assurance absolue sur les contrôles de cybersécurité mis en place dans leurs organisations. Certes, nous fournissons une assurance importante sur les risques et les dispositifs de contrôle, mais celle-ci n’est pas sans borne. Même s’il s’agit d’un rôle essentiel des auditeurs internes, nous devons nous garder de donner une fausse assurance.

Les attentes de nos clients ne sont pas sans fondement. Elles peuvent être irréalistes simplement parce qu'ils n’entendent que ce qu’ils veulent entendre mais une partie du problème peut aussi venir de nous. Des décalages au niveau des attentes peuvent apparaître à cause de ce que nous disons ou de ce que nous faisons, ou de la façon dont nous le disons. Ou ils peuvent découler de notre silence.

Nous expliquons souvent ce que nous pouvons faire pour nos organisations et comment nous pouvons leur apporter une valeur ajoutée. Il est important que nos parties prenantes comprennent les avantages de l'audit interne, c'est pourquoi nous intégrons ces informations dans notre charte, nos lettres de mission, nos réunions de lancement des missions et dans d’autres communications. Cependant, même si nous arrivons bien à expliquer l’utilité de l'audit interne, nous devrions peut-être passer un peu plus de temps à présenter nos limites potentielles, en gardant à l'esprit la devise de tout service client : "Moins promettre mais délivrer plus".

Il y aura toujours des facteurs de risque, quoi que fassent les auditeurs internes. Certaines catastrophes sont inévitables, quels que soient le nombre ou la qualité des auditeurs internes qui protègent nos organisations. En cas de crise, tous les regards se tournent vers l'audit interne pour en évaluer les causes et les conséquences. Comme le dit la chanson de Lady Antebellum, I Run to You : "Ce monde tourne de plus en plus vite à la catastrophe, alors j’accours vers toi." Il est naturel que la direction et le conseil d'administration fassent appel à nous à propos d’un risque ou une défaillance du dispositif de contrôle. Nous pouvons faire tout notre possible pour anticiper les principaux risques, mais nous ne pouvons pas tout auditer. C'est un message qui met l'accent sur la définition des attentes des parties prenantes.

Quelle est votre opinion sur la prise en compte et le suivi des attentes des parties prenantes ?

Richard Chambers

Pour information

Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.