Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorLorsque le comité d’audit ne veut rien savoir des mauvaises nouvelles dont l’audit interne est porteur

​Lorsque le comité d’audit ne veut rien savoir des mauvaises nouvelles dont l’audit interne est porteur

Cela fait longtemps que je suis fasciné par les dynamiques entre l’audit interne et le comité d’audit auquel il est rattaché. Avant toute chose, je tiens à préciser que je suis convaincu que la vaste majorité des comités d’audit font preuve de diligence dans l’exécution de leur mission de surveillance. Cependant, comme je l’ai déjà écrit une première fois dans un billet de blog en 2015, on ne croise que trop souvent des comités d’audit dont les membres ne se montrent pas aussi consciencieux qu’ils devraient l’être.

Dans son livre Extraordinary Circumstances, témoignage captivant du rôle joué par l’audit interne dans la mise au jour de la fraude au reporting financier chez WorldCom, Cynthia Cooper raconte les difficultés qu’elle a rencontrées pour que le comité d’audit accepte de la recevoir et d’écouter la présentation des résultats de ses travaux. Le président du comité d’audit, qui ne cessait de faire traîner la situation, a fini par épuiser sa patience. Dans une réplique digne d’un film de Clint Eastwood, elle lui a alors adressé un ultimatum en lui signifiant que « s’il ne convoqu[ait] pas une réunion le jour même, [elle allait] prendre [s]on téléphone et [s]’en charger [elle]-même. » Pour reprendre une question que j’ai déjà eu l’occasion de formuler : combien d’entre nous auraient un tel courage ? et combien d’entre nous seraient un jour dans une situation qui requière d’en arriver à de telles extrémités ?

Après que le président eut cédé et convoqué la réunion, le motif de sa réticence devint clair. En effet, au cours d’une conversation téléphonique un peu plus tard dans la journée, il réprimanda Cynthia Cooper en ces termes : « Avez-vous la moindre idée de ce que je suis sur le point de faire ? Je m’apprête à faire exploser la boîte. » Rares (pour ne pas dire inexistants) sont les cas où la fonction d’audit interne a révélé des informations aussi lourdes de conséquences que dans l’affaire WorldCom. Et pourtant, ce n’est sûrement pas la seule fois où un comité d’audit ou les personnes à sa tête ont préféré faire l’autruche plutôt que de prêter attention aux informations dommageables ou désagréables qui leur étaient transmises par l’audit interne.

En tant que directeur général de l’IIA, j’ai souvent entendu les responsables d’audit interne se lamenter au sujet des complications qu’ils rencontrent dans l’exercice de leurs fonctions. Fort de mon expérience, je suis rarement surpris lorsqu’ils évoquent les réticences de la direction générale à prêter l’oreille aux mauvaises nouvelles, que celles-ci portent sur ses propres agissements ou sur ceux de collègues ou de subordonnés. La grande majorité des dirigeants ont certes envie qu’on leur dise la vérité, mais ils sont encore trop nombreux – PDG et CFO inclus – à ne pas vouloir écouter l’audit interne lorsque celui-ci se trouve porteur de mauvaises nouvelles. En de rares occasions, ils peuvent même aller jusqu’à lui interdire de divulguer ses résultats comme il se doit, voire à prendre des mesures de représailles contre les responsables d’audit interne concernés. Dans des situations aussi délétères, le comité d’audit devrait faire office de « filet de sécurité ». Après tout, le conseil d’administration et son comité d’audit n’ont-ils pas un devoir de loyauté envers les actionnaires et l’obligation de veiller à leurs intérêts ?

Davantage que par les récits de dirigeants obstructionnistes, je suis donc surpris par les cas où le comité d’audit rechigne à entendre tout ce que l’audit interne pourrait avoir à lui dire. Cette réticence s’explique parfois par une volonté de s’épargner des mauvaises nouvelles, comme cela a peut-être été le cas pour WorldCom. D’autres fois, c’est parce qu’il y a déjà trop de sujets à traiter et que l’on ne veut même pas entendre parler d’un risque supplémentaire ou d’une nouvelle défaillance du contrôle. Quelle qu’en soit la raison, l’indifférence, ou pire, l’hostilité du comité d’audit est la dernière chose dont un responsable d’audit interne a besoin.

Comme je l’ai déjà écrit sur mon blog il y a quelques années en m’appuyant sur les témoignages de première main de responsables d’audit interne, plusieurs types d’informations ou de résultats sont susceptibles de mettre le comité d’audit mal à l’aise, à savoir :

  • les allégations de faute ou de comportement répréhensible de la part du PDG ou d’un autre cadre dirigeant ;
  • le constat général d’un défaut d’exemplarité au plus haut niveau ;
  • l’impossibilité de fournir une assurance sur l’efficacité des dispositifs de contrôle interne ou de management des risques ;
  • l’affirmation que les ressources de l’audit interne pourraient ne pas être suffisantes, ou que la limitation par le management des ressources de l’audit interne est allée trop loin ;
  • l’accusation selon laquelle la direction générale interférerait dans les travaux de l’audit interne ;
  • le débat autour des risques que l’audit interne ne traitera pas au cours de l’année à venir pour des questions de ressources ou en raison d’un manque d’expertise ;
  • l’inventaire des risques émergents qui devraient apparaître sur le radar du comité d’audit.

Il est rare que le comité d’audit ou son président interdisent explicitement au responsable d’audit interne d’évoquer ces sujets. Le plus souvent, leur aversion pour ce genre d’informations ne s’exprime pas ouvertement. Par exemple, si le comité d’audit ne questionne jamais le responsable d’audit interne au sujet des limitations de périmètre ou de ressources, cela devient nettement plus compliqué pour ce dernier d’aborder ces sujets. Le comité d’audit peut également faire la sourde oreille en restreignant le périmètre d’audit ou en souscrivant à des mesures prises en ce sens. Par exemple, si l’audit interne se limite à évaluer l’efficacité des dispositifs de contrôle financier, le comité d’audit n’entendra pas beaucoup parler des risques opérationnels, technologiques ou de conformité, à moins que le sujet ne soit mis sur la table par la direction générale. Un jour, un responsable d’audit interne m’a confié que lorsqu’il avait tenté de faire part de son point de vue sur les risques d’ordre extra-financier, le comité d’audit lui avait aimablement rappelé que ces risques ne faisaient pas partie de son périmètre.

Mon objectif n’est pas d’attaquer les comités d’audit ou de faire des procès d’intention à leurs membres. La vaste majorité d’entre eux se montrent vigilants dans l’exécution de leur rôle. Mais je pense que la moindre réticence de la part du comité d’audit à écouter/solliciter l’audit interne impose à la profession de réagir. Nous devons réussir à mieux articuler les rôles que nous pouvons jouer dans l’amélioration du management et dans les dispositifs de contrôle interne de nos organisations. Nous devrions encourager le comité d’audit à se poser les questions qui fâchent. Et même s’il s’y refuse, nous devrions malgré tout lui apporter des réponses. Après tout, ce n’est pas en se voilant la face que le comité d’audit servira l’intérêt des actionnaires.

Même s’il est peu probable que nous ayons un jour à brandir la menace de convoquer nous-mêmes une réunion du comité d’audit, nous ne devrions jamais nous dérober à notre responsabilité de tenir le comité d’audit pleinement et diligemment informé, a fortiori lorsque le sujet est sensible.

Vos commentaires sur cette question délicate sont les bienvenus.

Richard F. Chambers, Président et CEO du Global Institute of Internal Auditors, écrit un article hebdomadaire pour InternalAuditor.org sur les questions et tendances relatives à la profession de l’audit interne.