Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorSept signes qui montrent que vous pourriez etre un auditeur du jurassique

​Sept signes qui montrent que vous pourriez être un auditeur du jurassique

Le 17 octobre 2017

Toutes les professions évoluent à mesure que l’ensemble de connaissances se développe et que de nouveaux outils et technologies apparaissent. Les professionnels les plus éminents intègrent ces évolutions, et adoptent de nouvelles stratégies et tactiques pour accroître leur efficacité. Il en est de même (ou il devrait en être de même) pour les auditeurs internes.

Il y a quelques années, j’ai utilisé une expression pour décrire les auditeurs internes qui ne sont pas du tout à l’avant-garde, et qui ont tendance à s’accrocher à des pratiques dépassées. Je les ai appelés « auditeurs du jurassique ». Le jurassique a duré plus de 50 millions d’années et s’est terminé il y a environ 145 millions d’années. La vaste majorité des espèces de cette ère géologique se sont éteintes depuis longtemps, faute d’avoir pu s’adapter. Le même sort pourrait être réservé aux auditeurs internes qui ne parviennent pas à évoluer et à s’adapter à l’évolution des pratiques et de leur environnement.

Il est important de souligner qu’être un auditeur du jurassique n’a rien à voir avec l’âge. Beaucoup d’auditeurs internes parmi les plus âgés sont à la pointe du progrès. A l’inverse, de nombreux jeunes auditeurs recourent à des pratiques d’une époque révolue et sont réticents au changement.

J’ai établi ma propre liste informelle de caractéristiques et pratiques obsolètes. Voici sept signes qui montrent que vous pourriez être un auditeur du jurassique :

  1. Vous êtes obsédé par le passé. A ses débuts, la profession d’audit d’interne était surtout axée sur l’analyse rétrospective de ce qui s’était passé le mois dernier ou l’année dernière. Puis, nous avons commencé à proposer des points de vue sur la situation actuelle et, de plus en plus, nous fournissons une vision prospective de ce qui pourrait arriver dans le futur si les risques clés ne sont pas suffisamment maîtrisés. D’après mon expérience, les auditeurs du jurassique s’attardent trop sur l’analyse rétrospective, malgré sa faible valeur ajoutée. Or, ce type d’activité est le plus susceptible de faire l’objet d’une désintermédiation par un recours à l’intelligence artificielle. A l’instar des espèces de la période jurassique, les auditeurs internes qui se concentrent uniquement sur le passé sont probablement voués à l’extinction.
  2. Vos plans d’audit sont fondés sur des cycles, plutôt que sur les risques. Le recours à des cycles prédéterminés pour planifier les missions d’audit est un autre exemple de pratique professionnelle désuète. Quand j’étais jeune auditeur pour l’armée américaine, je savais pertinemment que nous étions tenus d’auditer les clubs des officiers tous les trois ans, que ceux-ci soient bien gérés ou non. Jusqu’au jour où l’audit fondé sur une approche par les risques a été introduit dans la profession. Toutefois, certaines fonctions d’audit interne s’en tiennent à l’ancienne méthode en continuant de mener des audits basés sur un calendrier, plutôt que sur une évaluation des risques.
  3. Vous élaborez un plan annuel d’audit et vous vous y tenez pour toute l’année. J’ai beaucoup écrit sur l’impératif d’ « auditer à la vitesse du risque ». Pourtant, beaucoup de fonctions d’audit interne continuent d’élaborer un plan annuel d’audit exhaustif qu’elles suivent à la lettre comme une feuille de route censée les guider dans la couverture du périmètre d’audit interne de l’année à venir. De même qu’être rivé dans le passé peut miner la valeur de l’audit interne, ne pas évaluer les risques en continu est tout aussi néfaste.
  4. Vous n’utilisez pas les technologies. Comme je l’ai déjà écrit, les technologies constitue le principal effet multiplicateur de l’audit interne. Que ce soit pour la gestion d’une mission d’audit interne (y compris des documents de travail électroniques), l’analyse de données, ou l’audit/la surveillance en continu, les technologies sont très utiles. Elles améliorent l’efficience et l’efficacité. Pourtant certaines fonctions d’audit interne tardent à les adopter, ou n’y songent même pas. Elles s’accrochent aux bons vieux papier et crayon du 20e siècle.
  5. Vous n’auditez pas les technologies. Beaucoup trop d’auditeurs internes sont peu disposés ou sont incapables d’auditer les risques liés aux systèmes d’information au sein de leur organisation. La cybersécurité, le cloud, ou encore les technologies mobiles sont autant de risques qu’ils rechignent à évaluer et à couvrir dans leurs plans d’audit. Or, ceux-ci font partie des risques les plus importants auxquels sont confrontées de nombreuses organisations. Éviter de les inclure dans le périmètre de l’audit interne augmente la probabilité d’entendre ces cinq mots si redoutés lorsque les choses tournent mal : « Où étaient les auditeurs internes ? »
  6. Vous préférez décrire les faits qu’émettre des recommandations. Lorsque j’étais jeune auditeur interne, l’identification et la communication d’un problème (d’un fait) me passionnaient. Je pensais que je démontrais vraiment ma valeur lorsque j’étais capable de signaler une défaillance de contrôle, des gaspillages, un manque d’efficacité ou une mauvaise gestion. Avec le temps, j’ai pris conscience qu’une observation n’est pas complète tant qu’elle n’inclut pas les causes, les conséquences et des recommandations de mesures correctives. J’ai l’impression qu’il y a encore trop d’auditeurs internes qui tirent plus de satisfaction à identifier le problème qu’à le résoudre.
  7. Vous appelez encore les clients de l’audit « audités ». OK, j’admets que ce signe peut sembler secondaire par rapport aux autres. Cependant, l’utilisation de ce terme dénote souvent un état d’esprit dépassé. Cela fait des années que l’IIA n’utilise plus le terme « audité » et privilégie le mot « clients » pour désigner ceux que nous auditons.

Cette liste énumère ce qui, à mes yeux, caractérise un auditeur du jurassique. Je sais qu’il y a beaucoup d’autres signes. En dressant ma liste, j’ai soumis l’idée à plusieurs collègues, et voici les signes qu’ils ont proposés.

  • Vous parlez de dispositifs de contrôle interne plutôt que de risques.
  • Vous utilisez des programmes d’audit standardisés.
  • Vous envisagez le risque seulement en termes d’impact et de probabilité.
  • Vous considérez que la culture doit être évaluée par l’intermédiaire d’une enquête auprès des collaborateurs.
  • Rester à l’écart ne vous dérange pas (vous ne cherchez pas à gagner le statut de conseiller de confiance).
  • Les ressources/compétences existantes vous suffisent.
  • Vous vous contentez de répondre aux attentes plutôt que de les dépasser (ou de les susciter).
  • Vous pensez que l’analyse de données consiste à insérer quelques tableaux et graphiques supplémentaires dans votre rapport d’audit.
  • Votre rapport d’audit est un résumé en 60 pages de tout ce que vous avez réalisé pendant les six derniers mois.

Je suis sûr que la liste pourrait encore s’allonger. Vos points de vue sont les bienvenus.

Richard Chambers

Pour information

Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.